多区域宇宙的权限控制

本文档介绍了如何在多区域 Google Distributed Cloud (GDC) 气隙环境中有效管理权限。如需保持对可跨多个可用区的资源的访问权限,您必须实现始终适用于这些资源的全局权限。GDC 提供 Identity and Access Management (IAM) 功能,可用于控制全局权限方案,而无需跟踪和维护区域级访问权限。

本文档面向平台管理员群组中的 IT 管理员,这些管理员负责为 GDC 宇宙中跨多个可用区的资源开发和维护访问权限控制。

如需了解详情,请参阅 GDC 气隙环境文档的受众群体

覆盖全球的访问权限

GDC 提供多项关键的 IAM 功能,可帮助您控制对可用区以及每个可用区内资源的访问权限。

简化角色管理

GDC 提供内置的全局权限控制功能,可让您自动应用和管理涵盖所有可用区的 IAM 角色。对权限进行全局控制后,您无需在每个可用区中手动应用角色,从而消除了分段用例。基于角色的访问权限控制 (RBAC) 默认是全局的,但可在必要时提供精细的区域级权限分配。

例如,假设您有一位需要访问项目资源的新开发者。由于项目默认是全局性的,因此它涵盖了您所在世界中的所有可用区。您无需在每个可用区中手动应用和维护访问项目所需的角色,只需为项目应用全局访问角色,该角色会自动应用于项目所在的所有可用区。现在,新的开发者项目访问权限会随着您的全球化项目而发展,如果您的全球化项目扩大,则会自动传播到新区域。

如需详细了解 GDC 中的角色绑定,请参阅授予和撤消访问权限

只需登录一次,即可传播现有凭据

GDC 提供身份提供方 (IdP),可简化您所在环境中的用户身份验证流程,无需分别登录每个区域。IdP 是一种集中管理和保护用户身份并提供身份验证服务的系统。连接到现有 IdP 后,用户可以使用组织的凭据访问 GDC,而无需在 GDC 中创建或管理单独的账号。由于 IdP 是一种全球性资源,默认配置为跨多个可用区,因此无论您在哪个可用区工作,都可以通过同一 IdP 访问 GDC。如需详细了解 GDC 中的 IdP,请参阅连接到身份提供方

全局工作负载和服务权限控制

正如人类用户可以通过 IdP 简化跨区域的身份验证一样,您的工作负载和服务也可以通过服务账号在您的 Universe 中受益于全局身份验证。服务账号是工作负载和服务用于以编程方式安全地使用资源和访问微服务的账号。由于服务账号是一种全球性资源,默认配置为跨多个可用区,因此您的工作负载和服务可以通过一组全球性权限统一访问跨多个宇宙的资源。

举例来说,假设您有一个附加了存储卷的虚拟机。由于卷可以跨越两个可用区,因此如果您想允许虚拟机访问卷,则必须在卷所在的所有可用区中授予虚拟机访问权限。 借助全局服务账号,您可以为虚拟机提供对存储卷的一次性访问权限,该权限会传播到存储卷所在的所有可用区。借助此功能,您可以大规模配置访问权限,而无需管理特定于区域的访问权限。

如需详细了解 GDC 中的服务账号,请参阅使用服务账号进行身份验证

后续步骤