Dokumen ini menjelaskan cara mengelola izin secara efektif di seluruh multi-zona Google Distributed Cloud (GDC) yang terisolasi dari internet. Untuk mempertahankan akses ke resource yang dapat mencakup beberapa zona, Anda harus menerapkan izin global yang diterapkan secara konsisten untuk resource tersebut. GDC menyediakan fitur Identity and Access Management (IAM) untuk mengontrol skema izin global Anda tanpa harus melacak dan mempertahankan akses tingkat zona.
Dokumen ini ditujukan bagi administrator IT dalam grup administrator platform yang bertanggung jawab untuk mengembangkan dan memelihara kontrol akses untuk resource yang mencakup beberapa zona di semesta GDC.
Untuk mengetahui informasi selengkapnya, lihat Audiens untuk dokumentasi GDC yang terisolasi dari internet.
Akses yang mencakup semesta
GDC menawarkan beberapa kemampuan IAM utama untuk membantu mengontrol akses ke zona Anda dan resource dalam setiap zona.
Menyederhanakan pengelolaan peran
GDC menyediakan kontrol izin global bawaan yang memungkinkan Anda menerapkan dan mengelola peran IAM yang mencakup semua zona secara otomatis. Kontrol global atas izin Anda menghilangkan kasus penggunaan tersegmentasi di mana Anda harus menerapkan peran secara manual di setiap zona. Role-based access control (RBAC) bersifat global secara default, tetapi menyediakan alokasi izin per zona yang disesuaikan, jika diperlukan.
Misalnya, Anda memiliki developer baru yang perlu mengakses resource project Anda. Karena project bersifat global secara default, project mencakup semua zona di semesta Anda. Daripada menerapkan dan mempertahankan peran yang diperlukan secara manual untuk mengakses project di setiap zona, Anda menerapkan peran akses global untuk project, yang berlaku secara otomatis untuk semua zona tempat project berada. Akses project developer baru kini berkembang seiring dengan universe Anda, dan disalurkan ke zona baru secara otomatis jika universe Anda berkembang.
Untuk mengetahui informasi selengkapnya tentang binding peran di GDC, lihat Memberikan dan mencabut akses.
Login sekali dan sebarkan kredensial yang ada
GDC menawarkan penyedia identitas (IdP) untuk menyederhanakan autentikasi pengguna di semesta Anda, tanpa perlu login ke setiap zona secara terpisah. IdP adalah sistem yang mengelola dan mengamankan identitas pengguna secara terpusat, serta menyediakan layanan autentikasi. Menghubungkan ke IdP yang ada memungkinkan pengguna mengakses GDC menggunakan kredensial organisasi mereka, tanpa perlu membuat atau mengelola akun terpisah dalam GDC. Karena IdP adalah resource global yang dikonfigurasi untuk mencakup beberapa zona secara default, Anda dapat mengakses GDC melalui IdP yang sama, terlepas dari zona tempat Anda bekerja. Untuk mengetahui informasi selengkapnya tentang IdP di GDC, lihat Menghubungkan ke penyedia identitas.
Kontrol izin layanan dan workload global
Sama seperti pengguna manusia yang mendapatkan manfaat dari IdP untuk menyederhanakan autentikasi di seluruh zona, beban kerja dan layanan Anda juga dapat memperoleh manfaat dari autentikasi global di semesta Anda dengan akun layanan. Akun layanan adalah akun yang digunakan workload dan layanan untuk menggunakan resource secara terprogram dan mengakses mikroservice dengan aman. Karena akun layanan adalah resource global yang dikonfigurasi untuk mencakup beberapa zona secara default, beban kerja dan layanan Anda dapat mengakses resource yang mencakup semesta secara seragam dengan satu set izin global.
Sebagai contoh, anggap Anda memiliki VM yang memiliki volume penyimpanan terpasang. Karena volume dapat mencakup dua zona, jika Anda ingin mengizinkan VM mengakses volume, VM harus memiliki izin akses di semua zona tempat volume berada. Dengan akun layanan global, Anda dapat memberikan akses VM ke volume penyimpanan satu kali, yang akan diterapkan ke semua zona tempat volume berada. Kemampuan ini memungkinkan Anda mengonfigurasi akses dalam skala universal, tanpa mengelola akses khusus zona.
Untuk mengetahui informasi selengkapnya tentang akun layanan di GDC, lihat Melakukan autentikasi dengan akun layanan.