Skip to main content
NetApp public and hybrid cloud solutions
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Architektur der Steuerebene

Beitragende kevin-hoke

Alle Verwaltungsaktionen für Google Cloud NetApp Volumes werden über die API durchgeführt. Die in die GCP Cloud Console integrierte Verwaltung von Google Cloud NetApp Volumes verwendet auch die API von Google Cloud NetApp Volumes .

Identitäts- und Zugriffsverwaltung

Identitäts- und Zugriffsverwaltung("ICH BIN" ) ist ein Standarddienst, mit dem Sie die Authentifizierung (Anmeldungen) und Autorisierung (Berechtigungen) für Google Cloud-Projektinstanzen steuern können. Google IAM bietet einen vollständigen Prüfpfad für die Autorisierung und Entfernung von Berechtigungen. Derzeit bietet Google Cloud NetApp Volumes keine Überwachung der Steuerungsebene.

Übersicht über Autorisierungen/Berechtigungen

IAM bietet integrierte, granulare Berechtigungen für Google Cloud NetApp Volumes. Sie finden eine "vollständige Liste der detaillierten Berechtigungen hier" .

IAM bietet außerdem zwei vordefinierte Rollen namens netappcloudvolumes.admin Und netappcloudvolumes.viewer . Diese Rollen können bestimmten Benutzern oder Dienstkonten zugewiesen werden.

Weisen Sie entsprechende Rollen und Berechtigungen zu, damit IAM-Benutzer Google Cloud NetApp Volumes verwalten können.

Beispiele für die Verwendung granularer Berechtigungen sind:

  • Erstellen Sie eine benutzerdefinierte Rolle mit ausschließlich den Berechtigungen „Abrufen/Auflisten/Erstellen/Aktualisieren“, sodass Benutzer keine Volumes löschen können.

  • Verwenden Sie eine benutzerdefinierte Rolle mit nur snapshot.* Berechtigungen zum Erstellen eines Dienstkontos, das zum Erstellen einer anwendungskonsistenten Snapshot-Integration verwendet wird.

  • Erstellen Sie eine benutzerdefinierte Rolle zum Delegieren volumereplication.* für bestimmte Benutzer.

Dienstkonten

Um Google Cloud NetApp Volumes API-Aufrufe über Skripte oder "Terraform" müssen Sie ein Dienstkonto mit dem roles/netappcloudvolumes.admin Rolle. Sie können dieses Dienstkonto verwenden, um die JWT-Token zu generieren, die zur Authentifizierung von Google Cloud NetApp Volumes API-Anfragen auf zwei verschiedene Arten erforderlich sind:

  • Generieren Sie einen JSON-Schlüssel und verwenden Sie Google APIs, um daraus ein JWT-Token abzuleiten. Dies ist der einfachste Ansatz, erfordert jedoch die manuelle Verwaltung der Geheimnisse (des JSON-Schlüssels).

  • Verwenden "Identitätswechsel beim Dienstkonto" mit roles/iam.serviceAccountTokenCreator . Der Code (Skript, Terraform usw.) wird ausgeführt mit "Standardanmeldeinformationen für Anwendungen" und gibt sich als Dienstkonto aus, um dessen Berechtigungen zu erhalten. Dieser Ansatz spiegelt die bewährten Sicherheitspraktiken von Google wider.

Sehen "Erstellen Ihres Dienstkontos und Ihres privaten Schlüssels" Weitere Informationen finden Sie in der Google Cloud-Dokumentation.

Google Cloud NetApp Volumes API

Die Google Cloud NetApp Volumes API verwendet eine REST-basierte API, indem sie HTTPS (TLSv1.2) als zugrunde liegenden Netzwerktransport verwendet. Die neueste API-Definition finden Sie "hier," und Informationen zur Verwendung der API unter "Cloud Volumes-APIs in der Google Cloud-Dokumentation" .

Der API-Endpunkt wird von NetApp mithilfe der Standard-HTTPS-Funktionalität (TLSv1.2) betrieben und gesichert.

JWT-Token

Die Authentifizierung gegenüber der API erfolgt mit JWT-Bearer-Token("RFC-7519" ). Gültige JWT-Token müssen mithilfe der Google Cloud IAM-Authentifizierung abgerufen werden. Dies muss durch Abrufen eines Tokens von IAM durch Bereitstellung eines JSON-Schlüssels für das Dienstkonto erfolgen.

Überwachungsprotokollierung

Derzeit sind keine für den Benutzer zugänglichen Prüfprotokolle der Steuerungsebene verfügbar.