En este documento se explica cómo puedes gestionar los permisos de forma eficaz en un universo aislado de Google Distributed Cloud (GDC) multizona. Para mantener el acceso a los recursos que pueden abarcar varias zonas, debes implementar permisos globales que se apliquen de forma coherente a ellos. GDC proporciona funciones de gestión de identidades y accesos (IAM) para controlar tu esquema de permisos global sin tener que monitorizar y mantener el acceso a nivel de zona.
Este documento está dirigido a los administradores de TI del grupo de administradores de la plataforma que se encargan de desarrollar y mantener el control de acceso a los recursos que abarcan varias zonas de un universo de GDC.
Para obtener más información, consulta Audiencias de la documentación aislada de GDC.
Acceso que abarca un universo
GDC ofrece varias funciones clave de gestión de identidades y accesos para controlar el acceso a tus zonas y a los recursos de cada zona.
Simplificar la gestión de roles
GDC proporciona un control de permisos globales integrado que te permite aplicar y gestionar automáticamente roles de gestión de identidades y accesos que abarcan todas las zonas. El control global de tus permisos elimina los casos prácticos segmentados, en los que debes aplicar manualmente los roles en cada zona. El control de acceso basado en roles (RBAC) es global de forma predeterminada, pero ofrece una asignación de permisos zonales precisa cuando es necesario.
Por ejemplo, supongamos que tienes un nuevo desarrollador que necesita acceder a los recursos de tu proyecto. Como un proyecto es global de forma predeterminada, abarca todas las zonas de tu universo. En lugar de aplicar y mantener manualmente los roles necesarios para acceder al proyecto en cada zona, puedes aplicar un rol de acceso global al proyecto, que se aplicará automáticamente a todas las zonas en las que se encuentre el proyecto. El acceso al proyecto del nuevo desarrollador ahora evoluciona con tu universo y se propaga automáticamente a las nuevas zonas si tu universo crece.
Para obtener más información sobre las vinculaciones de roles en GDC, consulta Conceder y revocar acceso.
Iniciar sesión una vez y propagar tus credenciales
GDC ofrece proveedores de identidades (IdPs) para simplificar la autenticación de los usuarios de tu universo sin tener que iniciar sesión en cada zona por separado. Un proveedor de identidades es un sistema que gestiona y protege de forma centralizada las identidades de los usuarios, además de proporcionar servicios de autenticación. Al conectarse a un IdP, los usuarios pueden acceder a GDC con las credenciales de su organización sin tener que crear ni gestionar cuentas independientes en GDC. Como un proveedor de identidades es un recurso global que está configurado para abarcar varias zonas de forma predeterminada, puedes acceder a GDC a través del mismo proveedor de identidades, independientemente de la zona en la que trabajes. Para obtener más información sobre los proveedores de identidades en GDC, consulta el artículo Conectarse a un proveedor de identidades.
Control global de permisos de cargas de trabajo y servicios
Al igual que los usuarios humanos se benefician de los IdPs para simplificar la autenticación en diferentes zonas, tus cargas de trabajo y servicios también pueden beneficiarse de la autenticación global en tu universo con cuentas de servicio. Las cuentas de servicio son las cuentas que usan las cargas de trabajo y los servicios para consumir recursos y acceder a microservicios de forma segura mediante programación. Como una cuenta de servicio es un recurso global que se configura para abarcar varias zonas de forma predeterminada, tus cargas de trabajo y servicios pueden acceder a recursos que abarcan un universo de forma uniforme con un único conjunto de permisos globales.
Por ejemplo, supongamos que tienes una VM con un volumen de almacenamiento conectado. Como un volumen puede abarcar dos zonas, si quieres permitir que la VM acceda al volumen, debe tener permisos de acceso en todas las zonas en las que se encuentre el volumen. Con las cuentas de servicio globales, puedes proporcionar a la VM acceso al volumen de almacenamiento una sola vez, y este se propagará a todas las zonas en las que se encuentre el volumen. Esta función te permite configurar el acceso a escala universal sin tener que gestionar el acceso específico de cada zona.
Para obtener más información sobre las cuentas de servicio en GDC, consulta el artículo Autenticarse con cuentas de servicio.