L'intelligence artificielle
Architecture du plan de contrôle
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
L'intelligence artificielle
-
Conteneurs
-
Red Hat OpenShift avec NetApp
-
-
Plusieurs fichiers PDF
Creating your file...
Toutes les actions de gestion vers Cloud Volumes Service sont effectuées par l'intermédiaire d'une API. La gestion Cloud Volumes Service intégrée à la console GCP Cloud utilise également l'API Cloud Volumes Service.
Gestion des identités et des accès
Gestion des identités et des accès ("IAM") Est un service standard qui vous permet de contrôler l'authentification (connexions) et l'autorisation (autorisations) des instances de projet Google Cloud. Google IAM fournit une piste d'audit complète des autorisations et des suppressions. Actuellement, Cloud Volumes Service ne fournit pas d'audit du plan de contrôle.
Présentation de l'autorisation/autorisation
IAM propose des autorisations granulaires intégrées pour Cloud Volumes Service. Vous pouvez trouver un "liste complète des autorisations granulaires ici".
IAM propose également deux rôles prédéfinis appelés netappcloudvolumes.admin et netappcloudvolumes.viewer. Ces rôles peuvent être attribués à des utilisateurs ou à des comptes de service spécifiques.
Attribuez les rôles et les autorisations appropriés pour permettre aux utilisateurs IAM de gérer Cloud Volumes Service.
Voici quelques exemples d'utilisation d'autorisations granulaires :
-
Créez un rôle personnalisé avec uniquement les autorisations obtenir/liste/créer/mettre à jour pour que les utilisateurs ne puissent pas supprimer de volumes.
-
Utilisez un rôle personnalisé avec uniquement
snapshot.*Autorisations permettant de créer un compte de service utilisé pour créer une intégration Snapshot cohérente avec les applications. -
Définissez un rôle personnalisé à déléguer
volumereplication.*pour des utilisateurs spécifiques.
Comptes de service
Pour passer des appels API Cloud Volumes Service par le biais de scripts ou "Terraform", vous devez créer un compte de service avec roles/netappcloudvolumes.admin rôle. Vous pouvez utiliser ce compte de service pour générer les jetons JWT requis pour authentifier les requêtes API Cloud Volumes Service de deux manières différentes :
-
Générez une clé JSON et utilisez les API Google pour dériver un jeton JWT. C'est l'approche la plus simple, mais elle implique une gestion manuelle des secrets (clé JSON).
-
Utiliser "Emprunt d'identité du compte de service" avec
roles/iam.serviceAccountTokenCreator. Le code (script, Terraform, etc.) s'exécute avec "Informations d'identification par défaut de l'application" et emprunt de l'identité du compte de service pour obtenir ses autorisations. Cette approche reflète les bonnes pratiques de sécurité de Google.
Voir "Création de votre compte de service et de votre clé privée" Dans la documentation Google Cloud pour plus d'informations.
API Cloud Volumes Service
L'API Cloud Volumes Service utilise une API REST en utilisant HTTPS (TLSv1.2) comme transport réseau sous-jacent. Vous trouverez la définition d'API la plus récente "ici" Et des informations sur l'utilisation de l'API à l'adresse "API Cloud volumes dans la documentation Google Cloud".
Le terminal API est exploité et sécurisé par NetApp à l'aide de la fonctionnalité HTTPS standard (TLSv1.2).
Jetons JWT
L'authentification à l'API est effectuée avec des jetons de support JWT ("RFC-7519"). Les jetons JWT valides doivent être obtenus via l'authentification Google Cloud IAM. Pour ce faire, il faut récupérer un jeton depuis IAM en fournissant une clé JSON de compte de service.
Consignation des audits
Aucun journal d'audit du plan de contrôle accessible par l'utilisateur n'est actuellement disponible.