Architettura del piano di controllo
Suggerisci modifiche
PDF
Tutte le azioni di gestione su Google Cloud NetApp Volumes vengono eseguite tramite API. La gestione di Google Cloud NetApp Volumes integrata in GCP Cloud Console utilizza anche l'API Google Cloud NetApp Volumes .
Gestione dell'identità e degli accessi
Gestione dell'identità e degli accessi("SONO" ) è un servizio standard che consente di controllare l'autenticazione (accessi) e l'autorizzazione (permessi) per le istanze del progetto Google Cloud. Google IAM fornisce un registro di controllo completo delle autorizzazioni, delle autorizzazioni e delle rimozioni. Attualmente Google Cloud NetApp Volumes non fornisce l'audit del piano di controllo.
Panoramica delle autorizzazioni/permessi
IAM offre autorizzazioni granulari integrate per Google Cloud NetApp Volumes. Puoi trovare un "elenco completo dei permessi granulari qui" .
IAM offre anche due ruoli predefiniti denominati netappcloudvolumes.admin E netappcloudvolumes.viewer . Questi ruoli possono essere assegnati a utenti specifici o account di servizio.
Assegnare ruoli e autorizzazioni appropriati per consentire agli utenti IAM di gestire Google Cloud NetApp Volumes.
Ecco alcuni esempi di utilizzo di autorizzazioni granulari:
-
Crea un ruolo personalizzato con solo autorizzazioni di ottenimento/elenco/creazione/aggiornamento in modo che gli utenti non possano eliminare volumi.
-
Utilizzare un ruolo personalizzato con solo
snapshot.*autorizzazioni per creare un account di servizio utilizzato per creare un'integrazione Snapshot coerente con l'applicazione. -
Crea un ruolo personalizzato da delegare
volumereplication.*a utenti specifici.
Account di servizio
Per effettuare chiamate API Google Cloud NetApp Volumes tramite script o "Terraformare" , è necessario creare un account di servizio con roles/netappcloudvolumes.admin ruolo. È possibile utilizzare questo account di servizio per generare i token JWT necessari per autenticare le richieste API Google Cloud NetApp Volumes in due modi diversi:
-
Genera una chiave JSON e utilizza le API di Google per ricavarne un token JWT. Questo è l'approccio più semplice, ma prevede la gestione manuale dei segreti (la chiave JSON).
-
Utilizzo "Impersonificazione dell'account di servizio" con
roles/iam.serviceAccountTokenCreator. Il codice (script, Terraform e così via) viene eseguito con "Credenziali predefinite dell'applicazione" e impersona l'account di servizio per ottenerne le autorizzazioni. Questo approccio rispecchia le migliori pratiche di sicurezza di Google.
Vedere "Creazione dell'account di servizio e della chiave privata" per maggiori informazioni consultare la documentazione di Google Cloud.
API Google Cloud NetApp Volumes
L'API Google Cloud NetApp Volumes utilizza un'API basata su REST utilizzando HTTPS (TLSv1.2) come trasporto di rete sottostante. Puoi trovare l'ultima definizione API "Qui" e informazioni su come utilizzare l'API su "API di Cloud Volumes nella documentazione di Google Cloud" .
L'endpoint API è gestito e protetto da NetApp tramite la funzionalità HTTPS standard (TLSv1.2).
Token JWT
L'autenticazione all'API viene eseguita con token JWT bearer("RFC-7519" ). I token JWT validi devono essere ottenuti tramite l'autenticazione Google Cloud IAM. Ciò deve essere fatto recuperando un token da IAM fornendo una chiave JSON dell'account di servizio.
Registrazione di controllo
Attualmente non sono disponibili registri di controllo accessibili all'utente.