Architecture du plan de contrôle
Suggérer des modifications
PDF
Toutes les actions de gestion dans Google Cloud NetApp volumes sont effectuées via une API. La gestion de Google Cloud NetApp volumes intégrée dans la console Cloud GCP utilise également l'API Google Cloud NetApp volumes.
Gestion des identités et des accès
Identity and Access Management ("IAM") est un service standard qui vous permet de contrôler l'authentification (connexions) et l'autorisation (autorisations) pour les instances de projet Google Cloud. Google IAM fournit une piste d'audit complète des autorisations et des suppressions. Pour le moment, Google Cloud NetApp volumes ne fournit pas d'audit de plan de contrôle.
Présentation de l'autorisation/autorisation
IAM offre des autorisations granulaires intégrées pour Google Cloud NetApp volumes. Vous pouvez trouver un "liste complète des autorisations granulaires ici".
IAM propose également deux rôles prédéfinis appelés netappcloudvolumes.admin et netappcloudvolumes.viewer. Ces rôles peuvent être attribués à des utilisateurs ou à des comptes de service spécifiques.
Attribuez des rôles et des autorisations appropriés pour permettre aux utilisateurs IAM de gérer Google Cloud NetApp volumes.
Voici quelques exemples d'utilisation d'autorisations granulaires :
-
Créez un rôle personnalisé avec uniquement les autorisations obtenir/liste/créer/mettre à jour pour que les utilisateurs ne puissent pas supprimer de volumes.
-
Utilisez un rôle personnalisé avec uniquement
snapshot.*Autorisations permettant de créer un compte de service utilisé pour créer une intégration Snapshot cohérente avec les applications. -
Définissez un rôle personnalisé à déléguer
volumereplication.*pour des utilisateurs spécifiques.
Comptes de service
Pour effectuer des appels d'API Google Cloud NetApp volumes via des scripts ou "Terraform", vous devez créer un compte de service avec le roles/netappcloudvolumes.admin rôle. Vous pouvez utiliser ce compte de service pour générer les jetons JWT requis pour authentifier les requêtes de l'API Google Cloud NetApp volumes de deux manières différentes :
-
Générez une clé JSON et utilisez les API Google pour dériver un jeton JWT. C'est l'approche la plus simple, mais elle implique une gestion manuelle des secrets (clé JSON).
-
Utiliser "Emprunt d'identité du compte de service" avec
roles/iam.serviceAccountTokenCreator. Le code (script, Terraform, etc.) s'exécute avec "Informations d'identification par défaut de l'application" et emprunt de l'identité du compte de service pour obtenir ses autorisations. Cette approche reflète les bonnes pratiques de sécurité de Google.
Voir "Création de votre compte de service et de votre clé privée" Dans la documentation Google Cloud pour plus d'informations.
API Google Cloud NetApp volumes
L'API Google Cloud NetApp volumes utilise une API REST en utilisant HTTPS (TLSv1.2) comme transport réseau sous-jacent. Vous trouverez la dernière définition d'API "ici" et des informations sur l'utilisation de l'API à l'adresse "API Cloud volumes dans la documentation Google Cloud".
Le terminal API est exploité et sécurisé par NetApp à l'aide de la fonctionnalité HTTPS standard (TLSv1.2).
Jetons JWT
L'authentification à l'API est effectuée avec des jetons de support JWT ("RFC-7519"). Les jetons JWT valides doivent être obtenus via l'authentification Google Cloud IAM. Pour ce faire, il faut récupérer un jeton depuis IAM en fournissant une clé JSON de compte de service.
Consignation des audits
Aucun journal d'audit du plan de contrôle accessible par l'utilisateur n'est actuellement disponible.