Ao planejar a implementação da SAP, é fundamental entender como o gerenciamento de acesso funciona no Google Cloud para tomar as seguintes decisões:
- Como organizar os recursos no Google Cloud
- quais membros da equipe podem acessar e trabalhar com recursos;
- Exatamente quais permissões cada membro da equipe precisa ter para estar em conformidade com o princípio de privilégios mínimos para acessar o recurso.
- Quais serviços e aplicativos precisam usar quais contas de serviço e que nível de permissões será concedido em cada caso.
Para ter uma visão geral de alto nível da autenticação no Google Cloud, consulte Visão geral da autenticação.
Herança e hierarquia de recursos
A hierarquia de recursos do Cloud Platform define os vários contêineres de recursos no Google Cloud, como eles se relacionam entre si e quais são os escopos de acesso.
As políticas de controle de acesso aplicadas a um recurso pai, como uma organização ou um projeto, são herdadas pelos filhos desse recurso, como as máquinas virtuais do Compute Engine ou os buckets do Cloud Storage na organização ou no projeto.
Gerenciamento de identidade e acesso
O gerenciamento de identidade e acesso (IAM, na sigla em inglês) oferece controle unificado sobre permissões para recursos do Google Cloud. É possível gerenciar o controle de acesso definindo quem tem qual acesso aos recursos. Por exemplo, controle quem pode realizar operações de plano de controle nas instâncias SAP, como criação e modificação de VMs, discos permanentes e rede.
Use as contas de serviço do IAM para conceder permissões a aplicativos e serviços. É importante entender como funcionam as contas de serviço no Compute Engine. Veja mais detalhes em Contas de serviço.
Os papéis do IAM concedem permissões aos usuários. Para conhecê-los e saber quais as permissões oferecidas, consulte Papéis do gerenciamento de identidade e acesso.
Para mais detalhes sobre o IAM, consulte a Visão geral do IAM.
Informações do IAM específicas de recursos
Para cada recurso que seus sistemas SAP usam, como um recurso do Compute Engine, você precisa entender como o IAM implementa o gerenciamento de autenticação e acesso para o recurso e quais papéis predefinidos o IAM fornece para ele.
Para informações sobre como alguns recursos frequentemente usados pelos sistemas SAP implementam o IAM, consulte:
- Permissões e papéis predefinidos do BigQuery
- Opções de controle de acesso do Compute Engine
- Opções de controle de acesso do Deployment Manager
- Guia de controle de acesso do Cloud Logging
- Controle de acesso do Cloud Monitoring