Architektur der Steuerebene
Alle Verwaltungsaktionen für Google Cloud NetApp Volumes werden über die API durchgeführt. Die in die GCP Cloud Console integrierte Verwaltung von Google Cloud NetApp Volumes verwendet auch die API von Google Cloud NetApp Volumes .
Identitäts- und Zugriffsverwaltung
Identitäts- und Zugriffsverwaltung("ICH BIN" ) ist ein Standarddienst, mit dem Sie die Authentifizierung (Anmeldungen) und Autorisierung (Berechtigungen) für Google Cloud-Projektinstanzen steuern können. Google IAM bietet einen vollständigen Prüfpfad für die Autorisierung und Entfernung von Berechtigungen. Derzeit bietet Google Cloud NetApp Volumes keine Überwachung der Steuerungsebene.
Übersicht über Autorisierungen/Berechtigungen
IAM bietet integrierte, granulare Berechtigungen für Google Cloud NetApp Volumes. Sie finden eine "vollständige Liste der detaillierten Berechtigungen hier" .
IAM bietet außerdem zwei vordefinierte Rollen namens netappcloudvolumes.admin
Und netappcloudvolumes.viewer
. Diese Rollen können bestimmten Benutzern oder Dienstkonten zugewiesen werden.
Weisen Sie entsprechende Rollen und Berechtigungen zu, damit IAM-Benutzer Google Cloud NetApp Volumes verwalten können.
Beispiele für die Verwendung granularer Berechtigungen sind:
-
Erstellen Sie eine benutzerdefinierte Rolle mit ausschließlich den Berechtigungen „Abrufen/Auflisten/Erstellen/Aktualisieren“, sodass Benutzer keine Volumes löschen können.
-
Verwenden Sie eine benutzerdefinierte Rolle mit nur
snapshot.*
Berechtigungen zum Erstellen eines Dienstkontos, das zum Erstellen einer anwendungskonsistenten Snapshot-Integration verwendet wird. -
Erstellen Sie eine benutzerdefinierte Rolle zum Delegieren
volumereplication.*
für bestimmte Benutzer.
Dienstkonten
Um Google Cloud NetApp Volumes API-Aufrufe über Skripte oder "Terraform" müssen Sie ein Dienstkonto mit dem roles/netappcloudvolumes.admin
Rolle. Sie können dieses Dienstkonto verwenden, um die JWT-Token zu generieren, die zur Authentifizierung von Google Cloud NetApp Volumes API-Anfragen auf zwei verschiedene Arten erforderlich sind:
-
Generieren Sie einen JSON-Schlüssel und verwenden Sie Google APIs, um daraus ein JWT-Token abzuleiten. Dies ist der einfachste Ansatz, erfordert jedoch die manuelle Verwaltung der Geheimnisse (des JSON-Schlüssels).
-
Verwenden "Identitätswechsel beim Dienstkonto" mit
roles/iam.serviceAccountTokenCreator
. Der Code (Skript, Terraform usw.) wird ausgeführt mit "Standardanmeldeinformationen für Anwendungen" und gibt sich als Dienstkonto aus, um dessen Berechtigungen zu erhalten. Dieser Ansatz spiegelt die bewährten Sicherheitspraktiken von Google wider.
Sehen "Erstellen Ihres Dienstkontos und Ihres privaten Schlüssels" Weitere Informationen finden Sie in der Google Cloud-Dokumentation.
Google Cloud NetApp Volumes API
Die Google Cloud NetApp Volumes API verwendet eine REST-basierte API, indem sie HTTPS (TLSv1.2) als zugrunde liegenden Netzwerktransport verwendet. Die neueste API-Definition finden Sie "hier," und Informationen zur Verwendung der API unter "Cloud Volumes-APIs in der Google Cloud-Dokumentation" .
Der API-Endpunkt wird von NetApp mithilfe der Standard-HTTPS-Funktionalität (TLSv1.2) betrieben und gesichert.
JWT-Token
Die Authentifizierung gegenüber der API erfolgt mit JWT-Bearer-Token("RFC-7519" ). Gültige JWT-Token müssen mithilfe der Google Cloud IAM-Authentifizierung abgerufen werden. Dies muss durch Abrufen eines Tokens von IAM durch Bereitstellung eines JSON-Schlüssels für das Dienstkonto erfolgen.
Überwachungsprotokollierung
Derzeit sind keine für den Benutzer zugänglichen Prüfprotokolle der Steuerungsebene verfügbar.