Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Kontrollebene Architektur

11/14/2024 Beitragende

PDFs

Alle Managementaktionen für Google Cloud NetApp Volumes werden über eine API durchgeführt. Das in die GCP Cloud Console integrierte Google Cloud NetApp Volumes Management verwendet auch die Google Cloud NetApp Volumes API.

Identitäts- und Zugriffsmanagement

Identity and Access Management ("IAM") ist ein Standardservice, mit dem Sie die Authentifizierung (Logins) und Autorisierung (Berechtigungen) für Projektinstanzen in Google Cloud steuern können. Google IAM bietet ein vollständiges Audit-Protokoll über Berechtigungen zum Berechtigungs- und Entfernen. Derzeit bietet Google Cloud NetApp Volumes kein Auditing der Kontrollebene.

Autorisierungs-/Berechtigungs-Übersicht

IAM bietet integrierte, granulare Berechtigungen für Google Cloud NetApp Volumes. Hier finden Sie eine "Vollständige Liste mit granularen Berechtigungen hier".

IAM bietet außerdem zwei vordefinierte Rollen, die als Namen bezeichnet werden netappcloudvolumes.admin Und netappcloudvolumes.viewer. Diese Rollen können bestimmten Benutzern oder Servicekonten zugewiesen werden.

Weisen Sie entsprechende Rollen und Berechtigungen zu, um IAM-Benutzern das Management von Google Cloud NetApp Volumes zu ermöglichen.

Beispiele für die Verwendung granularer Berechtigungen sind:

Erstellen Sie eine benutzerdefinierte Rolle nur mit Berechtigungen zum Abrufen/Auflisten/Erstellen/Aktualisieren, damit Benutzer Volumes nicht löschen können.
Verwenden Sie eine benutzerdefinierte Rolle nur mit snapshot.* Berechtigungen zum Erstellen eines Servicekontos, das zum Aufbau einer applikationskonsistenten Snapshot Integration verwendet wird.
Erstellen Sie eine benutzerdefinierte Rolle zum Delegieren volumereplication.* An bestimmte Benutzer.

Servicekonten

Um Google Cloud NetApp Volumes API über Skripte oder aufrufen "Terraform" zu können, müssen Sie ein Servicekonto mit der Rolle erstellen roles/netappcloudvolumes.admin. Sie können dieses Dienstkonto verwenden, um die JWT-Token zu generieren, die für die Authentifizierung von API-Anforderungen von Google Cloud NetApp Volumes erforderlich sind, und zwar auf zwei verschiedene Arten:

Generieren Sie einen JSON-Schlüssel und verwenden Sie Google APIs, um daraus ein JWT-Token abzuleiten. Dies ist der einfachste Ansatz, aber es beinhaltet manuelle Geheimnisse (den JSON-Schlüssel) Management.
Nutzung "Imitation von Servicekonten" Mit roles/iam.serviceAccountTokenCreator. Der Code (Skript, Terraform usw.) läuft mit "Standardanmeldedaten Für Anwendungen" Und personifiziert das Servicekonto, um seine Berechtigungen zu erhalten. Dieser Ansatz spiegelt die Best Practices für die Sicherheit von Google wider.

Siehe "Erstellen Ihres Servicekontos und privaten Schlüssels" In der Google Cloud Dokumentation finden Sie weitere Informationen.

Google Cloud NetApp Volumes-API

Die Google Cloud NetApp Volumes API verwendet eine REST-basierte API. Dabei wird HTTPS (TLSv1.2) als zugrunde liegende Netzwerktransportart verwendet. Die aktuelle API-Definition und Informationen zur Verwendung der API finden "Hier" Sie unter "Cloud Volumes APIs in der Google Cloud-Dokumentation".

Der API-Endpunkt wird durch NetApp mit Standard-HTTPS-Funktionalität (TLSv1.2) betrieben und gesichert.

JWT-Token

Die Authentifizierung an der API erfolgt mit JWT-Inhabertoken ("RFC-7519"). Gültige JWT-Token müssen über die Google Cloud IAM-Authentifizierung abgerufen werden. Dazu muss ein Token vom IAM abgerufen werden, indem ein JSON-Schlüssel für ein Servicekonto bereitgestellt wird.

Audit-Protokollierung

Derzeit sind keine vom Benutzer zugänglichen Prüfprotokolle für Kontrollebenen verfügbar.