Comprendere il funzionamento della gestione degli accessi su Google Cloud è fondamentale per prendere le seguenti decisioni durante la pianificazione dell'implementazione di SAP:
- Come organizzare le risorse su Google Cloud.
- I membri del team che possono accedere alle risorse e utilizzarle.
- Le autorizzazioni esatte che ogni membro del team deve avere per rispettare il principio del privilegio minimo per l'accesso alle risorse.
- Quali servizi e applicazioni devono utilizzare quali account di servizio e quale livello di autorizzazioni concedere in ogni caso.
Per una panoramica generale dell'autenticazione su Google Cloud, consulta Panoramica dell'autenticazione.
Gerarchia delle risorse ed ereditarietà
La gerarchia delle risorse della piattaforma Cloud definisce i vari contenitori di risorse su Google Cloud, la loro relazione tra loro e gli ambiti di accesso.
I criteri di controllo dell'accesso applicati a una risorsa principale, come un'organizzazione o un progetto, vengono ereditati dalle risorse figlio di quella risorsa, ad esempio le macchine virtuali Compute Engine o i bucket Cloud Storage nell'organizzazione o nel progetto.
Identity and Access Management
Identity and Access Management (IAM) fornisce un controllo unificato sulle autorizzazioni per le risorse Google Cloud. Puoi gestire controllo dell'accesso definendo chi ha quale accesso alle risorse. Ad esempio, puoi controllare chi può eseguire operazioni di controllo sulle tue istanze SAP, come la creazione e la modifica di VM, dischi permanenti e reti.
Gli account di servizio IAM ti consentono di concedere autorizzazioni a applicazioni e servizi. È importante comprendere il funzionamento degli account di servizio in Compute Engine. Per maggiori dettagli, consulta Account di servizio.
I ruoli IAM concedono autorizzazioni agli utenti. Per riferimenti sui ruoli e sulle autorizzazioni che forniscono, consulta Ruoli di Identity and Access Management.
Per ulteriori dettagli su IAM, consulta la Panoramica di IAM.
Informazioni IAM specifiche per la risorsa
Per ogni risorsa utilizzata dai sistemi SAP, ad esempio una risorsa Compute Engine, devi capire in che modo IAM implementa la gestione dell'autenticazione e dell'accesso per la risorsa e quali ruoli predefiniti fornisce IAM per la risorsa.
Per informazioni su come alcune risorse comunemente utilizzate dai sistemi SAP implementano IAM, consulta:
- Ruoli e autorizzazioni predefiniti di BigQuery
- Opzioni di controllo dell'accesso di Compute Engine
- Opzioni di controllo dell'accesso di Deployment Manager
- Guida controllo dell'accesso di Cloud Logging
- Controllo dell'accesso a Cloud Monitoring