了解 Google Cloud 上访问权限的管理方式是在规划 SAP 实现时作出以下决策的关键:
- 如何在 Google Cloud 上整理资源。
- 哪些团队成员可以访问和使用资源。
- 每个团队成员需要拥有哪些具体权限才能满足资源访问的最小权限原则。
- 哪些服务和应用需要使用哪些服务账号,以及在每种情况下应授予哪个级别的权限。
如需大致了解 Google Cloud 上的身份验证,请参阅身份验证概览。
资源层次结构和继承
Cloud Platform 资源层次结构定义了 Google Cloud 上的各种资源容器、它们之间的关系以及访问权限范围。
应用于父资源(例如组织或项目)的访问权限控制政策将由该资源的子资源继承,例如组织或项目中的 Compute Engine 虚拟机或 Cloud Storage 存储分区。
Identity and Access Management
Identity and Access Management (IAM) 可统一控制 Google Cloud 资源的权限。通过定义哪些人对资源拥有哪些权限,您可以管理访问权限控制机制。比如,您可以控制哪些人可以在 SAP 实例上执行控制层面操作,例如创建和修改虚拟机、Persistent Disk 和网络。
IAM 服务账号为您提供了一种向应用和服务授予权限的方式。您有必要了解服务账号在 Compute Engine 中的工作原理。如需了解详情,请参阅服务账号。
IAM 角色向用户授予权限。如需了解各种角色及其具备的权限,请参阅 Identity and Access Management 角色。
如需详细了解 IAM,请参阅 IAM 概览。
特定于资源的 IAM 信息
对于您的 SAP 系统使用的每种资源(例如 Compute Engine 资源),您需要了解 IAM 如何实现资源的身份验证和访问权限管理,以及 IAM 为资源提供了哪些预定义角色。
如需了解 SAP 系统常用的某些资源如何实现 IAM,请参阅:
- BigQuery 预定义的角色和权限
- Compute Engine 访问权限控制选项
- Deployment Manager 访问权限控制选项
- Cloud Logging 访问权限控制指南
- Cloud Monitoring 访问权限控制机制