Neste documento, explicamos como gerenciar permissões de maneira eficaz em um universo isolado do Google Distributed Cloud (GDC) em várias zonas. Para manter o acesso a recursos que podem abranger várias zonas, implemente permissões globais que sejam aplicadas de forma consistente a eles. O GDC oferece recursos Identity and Access Management (IAM) para controlar seu esquema de permissões globais sem precisar rastrear e manter o acesso no nível da zona.
Este documento é destinado a administradores de TI no grupo de administradores de plataforma responsáveis por desenvolver e manter o controle de acesso a recursos que abrangem várias zonas em um universo do GDC.
Para mais informações, consulte Públicos-alvo para documentação isolada do GDC.
Acesso que abrange um universo
O GDC oferece vários recursos importantes do IAM para ajudar a controlar o acesso às suas zonas e aos recursos em cada uma delas.
Simplificar o gerenciamento de funções
O GDC oferece controle de permissões global integrado que permite aplicar e gerenciar papéis do IAM em todas as zonas automaticamente. O controle global sobre suas permissões remove casos de uso segmentados em que você precisa aplicar papéis manualmente em cada zona. O controle de acesso baseado em papéis (RBAC) é global por padrão, mas oferece uma alocação de permissão zonal refinada, quando necessário.
Por exemplo, imagine que você tem um novo desenvolvedor que precisa acessar os recursos do seu projeto. Como um projeto é global por padrão, ele abrange todas as zonas do seu universo. Em vez de aplicar e manter manualmente os papéis necessários para acessar o projeto em cada zona, você aplica um papel de acesso global para o projeto, que se aplica automaticamente a todas as zonas em que o projeto está. O acesso ao projeto do novo desenvolvedor agora evolui com seu universo e é propagado automaticamente para novas zonas se o universo crescer.
Para mais informações sobre vinculações de função no GDC, consulte Conceder e revogar acesso.
Fazer login uma vez e propagar suas credenciais atuais
O GDC oferece provedores de identidade (IdP) para simplificar a autenticação de usuários no seu universo, sem a necessidade de fazer login em cada zona separadamente. Um IdP é um sistema que gerencia e protege de forma centralizada as identidades dos usuários, fornecendo serviços de autenticação. Ao se conectar a um IdP, os usuários podem acessar o GDC usando as credenciais da organização sem precisar criar ou gerenciar contas separadas no GDC. Como um IdP é um recurso global configurado para abranger várias zonas por padrão, é possível acessar o GDC pelo mesmo IdP, independente da zona em que você trabalha. Para mais informações sobre provedores de identidade no GDC, consulte Conectar-se a um provedor de identidade.
Controle global de permissões de serviços e cargas de trabalho
Assim como os usuários humanos se beneficiam dos IdPs para simplificar a autenticação em várias zonas, suas cargas de trabalho e serviços também podem se beneficiar da autenticação global no seu universo com contas de serviço. As contas de serviço são as contas que cargas de trabalho e serviços usam para consumir recursos e acessar microsserviços de maneira programática e segura. Como uma conta de serviço é um recurso global configurado para abranger várias zonas por padrão, suas cargas de trabalho e serviços podem acessar recursos que abrangem um universo de maneira uniforme com um único conjunto de permissões globais.
Por exemplo, considere que você tem uma VM com um volume de armazenamento anexado. Como um volume pode abranger duas zonas, se você quiser permitir que a VM acesse o volume, ela precisará ter permissões de acesso em todas as zonas em que o volume reside. Com as contas de serviço globais, você pode fornecer acesso da VM ao volume de armazenamento uma vez, o que é propagado para todas as zonas em que o volume reside. Com esse recurso, é possível configurar o acesso em uma escala universal, sem gerenciar o acesso específico da zona.
Para mais informações sobre contas de serviço no GDC, consulte Autenticar com contas de serviço.