日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

コントロールプレーンのアーキテクチャ

Cloud Volumes Service に対する管理操作は、すべてAPIを通じて実行されます。GCPクラウドコンソールに統合されたCloud Volumes Service 管理でも、Cloud Volumes Service APIを使用します。

IDおよびアクセス管理

IDおよびアクセス管理 ("IAM")は、Google Cloudプロジェクトインスタンスへの認証(ログイン)と許可(権限)を制御できる標準サービスです。Google IAMには、許可の承認と削除に関する完全な監査証跡が用意されています。現在、Cloud Volumes Service ではコントロールプレーンの監査を提供していません。

承認/権限の概要

IAMには、Cloud Volumes Service に対する詳細な権限があらかじめ組み込まれています。を見つけることができる "詳細な権限の一覧をここに入力します"

IAMには、「netappcloudvolumes」と「netappcloudvolumes」という2つの事前定義された役割も用意されています。これらのロールは、特定のユーザまたはサービスアカウントに割り当てることができます。

IAMユーザにCloud Volumes Service の管理を許可する適切なロールと権限を割り当てます。

きめ細かい権限の使用例を次に示します。

  • ボリュームを削除できないように、権限の取得/リスト/作成/更新だけを指定してカスタムロールを作成します。

  • 「snapshot.*」権限のみを持つカスタム・ロールを使用して、アプリケーションと整合性のあるSnapshot統合を構築するために使用するサービス・アカウントを作成します。

  • 特定のユーザーに’volumeereplication.*'を委任するカスタムロールを作成します

サービスアカウント

スクリプトまたはを使用してCloud Volumes Service API呼び出しを実行する "テラフォーム"'roles/netappcloudvolumes .admin’ロールを持つサービスアカウントを作成する必要がありますこのサービスアカウントを使用して、Cloud Volumes Service API要求の認証に必要なJWTトークンを生成できます。これには、次の2つの方法があります。

  • JSONキーを生成し、Google APIを使用してJWTトークンを取得します。これは最もシンプルなアプローチですが、手動のシークレット(JSONキー)管理が必要になります。

  • 使用 "サービスアカウントのなりすまし" 「roles/iam.serviceAccountTokenCreator`」を指定します。コード(スクリプト、Terraformなど)はで実行されます "アプリケーションのデフォルトクレデンシャル" また、サービスアカウントを偽装して権限を取得します。このアプローチは、Googleのセキュリティのベストプラクティスを反映しています。

を参照してください "サービスアカウントと秘密鍵を作成しています" 詳細については、Google Cloudのドキュメントを参照してください。

Cloud Volumes Service APIの略

Cloud Volumes Service APIでは、基盤となるネットワーク転送としてHTTPS(TLSv1.2)を使用してRESTベースのAPIを使用します。最新のAPI定義を確認できます "こちらをご覧ください" およびでのAPIの使用方法に関する情報 "Google CloudドキュメントのCloud Volume API"

APIエンドポイントは、標準のHTTPS(TLSv1.2)機能を使用してネットアップによって処理および保護されます。

JWTトークン

APIへの認証は、JWTベアラートークンを使用して実行されます ("RFC-7519")。有効なJWTトークンは、Google Cloud IAM認証を使用して取得する必要があります。そのためには、サービスアカウントのJSONキーを指定してIAMからトークンを取得する必要があります。

監査ロギング

現在、ユーザがアクセスできるコントロールプレーン監査ログはありません。