In diesem Dokument wird beschrieben, wie Sie Berechtigungen in einer Air-Gap-Umgebung mit mehreren Zonen von Google Distributed Cloud (GDC) effektiv verwalten können. Damit Sie weiterhin auf Ressourcen zugreifen können, die sich über mehrere Zonen erstrecken, müssen Sie globale Berechtigungen implementieren, die einheitlich für diese Ressourcen gelten. GDC bietet IAM-Funktionen (Identity and Access Management), mit denen Sie Ihr globales Berechtigungsschema steuern können, ohne den Zugriff auf Zonenebene verfolgen und verwalten zu müssen.
Dieses Dokument richtet sich an IT-Administratoren in der Gruppe der Plattformadministratoren, die für die Entwicklung und Verwaltung der Zugriffssteuerung für Ressourcen verantwortlich sind, die sich über mehrere Zonen in einem GDC-Universum erstrecken.
Weitere Informationen finden Sie unter Zielgruppen für die GDC-Dokumentation für Air-Gap-Umgebungen.
Zugriff, der ein Universum umfasst
GDC bietet mehrere wichtige IAM-Funktionen, mit denen Sie den Zugriff auf Ihre Zonen und die Ressourcen in jeder Zone steuern können.
Rollenverwaltung optimieren
GDC bietet eine integrierte globale Berechtigungssteuerung, mit der Sie IAM-Rollen, die sich über alle Zonen erstrecken, automatisch anwenden und verwalten können. Durch die globale Kontrolle über Ihre Berechtigungen entfallen segmentierte Anwendungsfälle, in denen Sie Rollen in jeder Zone manuell anwenden müssen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) ist standardmäßig global, bietet aber bei Bedarf eine präzise zonale Berechtigungszuweisung.
Angenommen, Sie haben einen neuen Entwickler, der auf die Ressourcen Ihres Projekts zugreifen muss. Da ein Projekt standardmäßig global ist, umfasst es alle Zonen in Ihrem Universum. Anstatt die für den Zugriff auf das Projekt in jeder Zone erforderlichen Rollen manuell anzuwenden und zu verwalten, weisen Sie dem Projekt eine globale Zugriffsrolle zu, die automatisch für alle Zonen gilt, in denen sich das Projekt befindet. Der Projektzugriff des neuen Entwicklers wird jetzt mit Ihrem Universum weiterentwickelt und automatisch auf neue Zonen übertragen, wenn Ihr Universum wächst.
Weitere Informationen zu Rollenbindungen in GDC finden Sie unter Zugriff gewähren und entziehen.
Einmal anmelden und vorhandene Anmeldedaten übertragen
GDC bietet Identitätsanbieter (IdP), um die Authentifizierung von Nutzern in Ihrem Universum zu vereinfachen, ohne dass Sie sich in jeder Zone separat anmelden müssen. Ein IdP ist ein System, das Nutzeridentitäten zentral verwaltet und schützt und Authentifizierungsdienste bereitstellt. Wenn Sie eine Verbindung zu einem vorhandenen IdP herstellen, können Nutzer mit den Anmeldedaten ihrer Organisation auf GDC zugreifen, ohne separate Konten in GDC erstellen oder verwalten zu müssen. Da ein IdP eine globale Ressource ist, die standardmäßig für mehrere Zonen konfiguriert ist, können Sie unabhängig von der Zone, in der Sie arbeiten, über denselben IdP auf GDC zugreifen. Weitere Informationen zu Identitätsanbietern in GDC finden Sie unter Verbindung zu einem Identitätsanbieter herstellen.
Globale Steuerung von Arbeitslast- und Dienstberechtigungen
Genau wie menschliche Nutzer von IdPs profitieren, um die Authentifizierung über Zonen hinweg zu optimieren, können auch Ihre Arbeitslasten und Dienste von der globalen Authentifizierung in Ihrem Universum mit Dienstkonten profitieren. Dienstkonten sind die Konten, die von Arbeitslasten und Diensten verwendet werden, um Ressourcen programmatisch zu nutzen und sicher auf Mikroservices zuzugreifen. Da ein Dienstkonto eine globale Ressource ist, die standardmäßig für mehrere Zonen konfiguriert ist, können Ihre Arbeitslasten und Dienste mit einer einzigen Gruppe globaler Berechtigungen einheitlich auf Ressourcen zugreifen, die sich über ein Universum erstrecken.
Angenommen, Sie haben eine VM mit einem angehängten Speichervolume. Da sich ein Volume über zwei Zonen erstrecken kann, muss die VM Zugriffsberechtigungen in allen Zonen haben, in denen sich das Volume befindet, wenn Sie der VM Zugriff auf das Volume gewähren möchten. Mit globalen Dienstkonten können Sie der VM einmal Zugriff auf das Speichervolume gewähren. Dieser Zugriff wird dann auf alle Zonen übertragen, in denen sich das Volume befindet. Mit dieser Funktion können Sie den Zugriff universell konfigurieren, ohne zonenspezifischen Zugriff verwalten zu müssen.
Weitere Informationen zu Dienstkonten in GDC finden Sie unter Mit Dienstkonten authentifizieren.