Lorsque vous planifiez la mise en œuvre de SAP, il est essentiel de comprendre comment fonctionne la gestion des accès sur Google Cloud afin de prendre les décisions suivantes :
- Comment organiser les ressources sur Google Cloud.
- Quels membres de l'équipe peuvent accéder aux ressources et travailler avec elles.
- Les autorisations exactes dont chaque membre de l'équipe doit disposer pour accéder aux ressources en respectant le principe du moindre privilège.
- Quels services et applications pour quels comptes de service et quel niveau d'autorisations accorder dans chaque cas.
Pour obtenir une présentation générale de l'authentification sur Google Cloud, consultez la page Présentation de l'authentification.
Hiérarchie et héritage des ressources
La hiérarchie des ressources Cloud Platform définit les différents conteneurs de ressources sur Google Cloud, leur corrélation et leurs niveaux d'accès.
Les règles de contrôle des accès appliquées à une ressource parente, par exemple, une organisation ou un projet, sont transmises aux enfants de cette ressource, tels que les machines virtuelles Compute Engine ou les buckets Cloud Storage d'une organisation ou d'un projet.
Gestion de l'authentification et des accès
Le service Identity and Access Management (IAM) fournit un contrôle unifié des autorisations pour les ressources Google Cloud. Vous pouvez gérer le contrôle des accès en définissant le type d'accès aux ressources pour chaque personne. Par exemple, vous pouvez déterminer qui peut effectuer des opérations du plan de contrôle sur vos instances SAP, telles que la création et la modification de VM, de disques persistants et de la mise en réseau.
Les comptes de service IAM vous permettent d'accorder des autorisations aux applications et aux services. Il est important de comprendre le fonctionnement des comptes de service dans Compute Engine. Pour en savoir plus, consultez la page Comptes de service.
Les rôles IAM permettent d'accorder des autorisations aux utilisateurs. Pour en savoir plus sur les rôles et les autorisations qu'ils fournissent, consultez la page sur les rôles de gestion de l'authentification et des accès.
Pour plus d'informations sur IAM, reportez-vous à la section de présentation d'IAM.
Informations IAM spécifiques aux ressources
Pour chaque ressource utilisée par vos systèmes SAP (par exemple, une ressource Compute Engine), vous devez comprendre comment IAM met en œuvre l'authentification et la gestion des accès pour cette ressource, ainsi que les rôles prédéfinis fournis par IAM.
Pour en savoir plus sur la façon dont certaines ressources couramment utilisées par les systèmes SAP mettent en œuvre IAM, consultez les pages suivantes :
- Rôles et autorisations BigQuery prédéfinis
- Options de contrôle d'accès dans Compute Engine
- Options de contrôle des accès à Deployment Manager
- Guide du contrôle des accès à Cloud Logging
- Contrôle des accès à Cloud Monitoring