Architettura del piano di controllo
Suggerisci modifiche
PDF
Tutte le azioni di gestione in Google Cloud NetApp Volumes vengono eseguite tramite API. La gestione di Google Cloud NetApp Volumes integrata nella console cloud GCP utilizza anche l'API di Google Cloud NetApp Volumes.
Gestione di identità e accessi
Identity and Access Management ("IAM") è un servizio standard che consente di controllare l'autenticazione (accessi) e l'autorizzazione (autorizzazioni) per le istanze di progetto di Google Cloud. Google IAM offre un audit trail completo delle autorizzazioni di autorizzazione e rimozione. Attualmente Google Cloud NetApp Volumes non fornisce l'audit dei piani di controllo.
Panoramica delle autorizzazioni
IAM offre permessi granulari integrati per Google Cloud NetApp Volumes. È possibile trovare un "completa l'elenco delle autorizzazioni granulari qui".
IAM offre anche due ruoli predefiniti chiamati netappcloudvolumes.admin e. netappcloudvolumes.viewer. Questi ruoli possono essere assegnati a specifici utenti o account di servizio.
Assegnare ruoli e autorizzazioni appropriati per consentire agli utenti IAM di gestire Google Cloud NetApp Volumes.
Di seguito sono riportati alcuni esempi di utilizzo delle autorizzazioni granulari:
-
Creare un ruolo personalizzato con solo autorizzazioni Get/List/create/Update in modo che gli utenti non possano eliminare i volumi.
-
Utilizzare un ruolo personalizzato solo con
snapshot.*Autorizzazioni per creare un account di servizio utilizzato per creare un'integrazione Snapshot coerente con l'applicazione. -
Creare un ruolo personalizzato da delegare
volumereplication.*a utenti specifici.
Account di servizio
Per effettuare chiamate alle API di Google Cloud NetApp Volumes tramite script o "Terraform", è necessario creare un account di servizio con il roles/netappcloudvolumes.admin ruolo. È possibile utilizzare questo account di servizio per generare i token JWT necessari per autenticare le richieste API di Google Cloud NetApp Volumes in due modi diversi:
-
Generare una chiave JSON e utilizzare le API di Google per derivare un token JWT da essa. Questo è l'approccio più semplice, ma implica la gestione manuale dei segreti (la chiave JSON).
-
Utilizzare "Rappresentazione dell'account di servizio" con
roles/iam.serviceAccountTokenCreator. Il codice (script, Terraform e così via). funziona con "Credenziali predefinite dell'applicazione" e rappresenta l'account del servizio per ottenere le autorizzazioni. Questo approccio riflette le Best practice di sicurezza di Google.
Vedere "Creazione dell'account di servizio e della chiave privata" Nella documentazione di Google Cloud per ulteriori informazioni.
API Google Cloud NetApp Volumes
Google Cloud NetApp Volumes API utilizza un'API basata su REST utilizzando HTTPS (TLSv1,2) come trasporto di rete sottostante. È possibile trovare la definizione API più recente "qui" e le informazioni su come utilizzare l'API all'indirizzo "Cloud Volumes API nella documentazione cloud di Google".
L'endpoint API viene gestito e protetto da NetApp utilizzando la funzionalità HTTPS standard (TLSv1.2).
Token JWT
L'autenticazione all'API viene eseguita con token bearer JWT ("RFC-7519"). I token JWT validi devono essere ottenuti utilizzando l'autenticazione IAM di Google Cloud. A tale scopo, è necessario recuperare un token da IAM fornendo una chiave JSON dell'account di servizio.
Registrazione dell'audit
Attualmente, non sono disponibili registri di audit del piano di controllo accessibili dall'utente.