コントロールプレーンアーキテクチャ
変更を提案
PDF
Google Cloud NetApp Volumesに対するすべての管理アクションは API を介して実行されます。 GCP Cloud Console に統合されたGoogle Cloud NetApp Volumes管理でも、 Google Cloud NetApp Volumes API が使用されます。
アイデンティティとアクセス管理
アイデンティティとアクセス管理("私は")は、Google Cloud プロジェクト インスタンスへの認証(ログイン)と承認(権限)を制御できる標準サービスです。 Google IAM は、権限の承認と削除の完全な監査証跡を提供します。現在、 Google Cloud NetApp Volumes はコントロール プレーンの監査を提供していません。
承認/許可の概要
IAM は、 Google Cloud NetApp Volumesに対して組み込みのきめ細かな権限を提供します。あなたは "詳細な権限の完全なリストはこちら"。
IAMには、 netappcloudvolumes.admin`そして `netappcloudvolumes.viewer。これらのロールは、特定のユーザーまたはサービス アカウントに割り当てることができます。
IAM ユーザーがGoogle Cloud NetApp Volumesを管理できるように、適切なロールと権限を割り当てます。
きめ細かな権限の使用例は次のとおりです。
-
ユーザーがボリュームを削除できないように、取得/一覧表示/作成/更新権限のみを持つカスタム ロールを構築します。
-
カスタムロールを使用する `snapshot.*`アプリケーション整合性のあるスナップショット統合を構築するために使用されるサービス アカウントを作成する権限。
-
委任するカスタムロールを構築する `volumereplication.*`特定のユーザーに。
サービスアカウント
Google Cloud NetApp Volumes API呼び出しをスクリプトまたは "テラフォーム"、サービスアカウントを作成する必要があります。 `roles/netappcloudvolumes.admin`役割。このサービス アカウントを使用すると、 Google Cloud NetApp Volumes API リクエストを認証するために必要な JWT トークンを 2 つの方法で生成できます。
-
JSON キーを生成し、Google API を使用してそこから JWT トークンを派生します。これは最も単純なアプローチですが、手動での秘密 (JSON キー) 管理が必要になります。
-
使用 "サービスアカウントのなりすまし"と
roles/iam.serviceAccountTokenCreator。コード(スクリプト、Terraformなど)は次のように実行されます。 "アプリケーションのデフォルト資格情報"サービス アカウントを偽装して権限を取得します。このアプローチは、Google のセキュリティのベスト プラクティスを反映しています。
見る "サービスアカウントと秘密鍵の作成"詳細については、Google クラウドのドキュメントをご覧ください。
Google Cloud NetApp VolumesAPI
Google Cloud NetApp Volumes API は、基盤となるネットワーク トランスポートとして HTTPS (TLSv1.2) を使用する REST ベースの API を使用します。最新のAPI定義は以下からご覧いただけます。 "ここをクリックしてください。" APIの使用方法に関する情報は、 "Google クラウド ドキュメントの Cloud Volumes API" 。
API エンドポイントは、標準の HTTPS (TLSv1.2) 機能を使用してNetAppによって運用および保護されます。
JWTトークン
APIへの認証はJWTベアラートークンで実行される("RFC-7519")。有効な JWT トークンは、Google Cloud IAM 認証を使用して取得する必要があります。これは、サービス アカウント JSON キーを指定して IAM からトークンを取得することによって実行する必要があります。
監査ロギング
現在、ユーザーがアクセスできるコントロール プレーン監査ログは利用できません。