瞭解如何在 Google Cloud 上管理存取權,是您在規劃 SAP 導入時做出下列決策的關鍵:
- 如何管理 Google Cloud上的資源。
- 哪些團隊成員可以存取及使用資源。
- 每位團隊成員必須具備哪些權限,才能遵守資源存取的最低權限原則。
- 哪些服務和應用程式需要使用哪些服務帳戶,以及每種情況分別應授予的權限等級。
如要瞭解 Google Cloud的驗證功能,請參閱驗證總覽。
資源階層與繼承
Cloud Platform 資源階層定義了 Google Cloud上的各種資源容器、容器之間的關係,以及存取範圍。
套用至父項資源 (例如機構或專案) 的存取權控管政策,會由該資源的子項沿用,例如機構或專案中的 Compute Engine 虛擬機器或 Cloud Storage 值區。
Identity and Access Management
Identity and Access Management (IAM) 能讓您統一控管 Google Cloud 資源的權限。您可以定義誰擁有何種資源存取權來管理存取權。例如,您可以控管誰可以在 SAP 執行個體上執行控制層作業,包括建立及修改 VM、永久磁碟和網路。
IAM 的「服務帳戶」為您提供了一種將權限授予應用程式和服務的方法。請務必瞭解服務帳戶如何與 Compute Engine 搭配使用。詳情請參閱「服務帳戶」。
身分與存取權管理「角色」可授予使用者權限。如需角色及角色提供權限的參考資料,請參閱「身分與存取權管理角色」。
如要進一步瞭解身分與存取權管理 (IAM),請參閱身分與存取權管理總覽。
資源專屬的 IAM 資訊
針對 SAP 系統使用的每項資源 (例如 Compute Engine 資源),您必須瞭解 IAM 如何為資源實作驗證和存取權管理,以及 IAM 為資源提供哪些預先定義的角色。
如要瞭解 SAP 系統常用的部分資源如何實作 IAM,請參閱: