控制平面架构
建议更改
PDF
所有Google Cloud NetApp卷管理操作均通过API完成。集成到GCP云控制台中的Google Cloud NetApp卷管理也使用Google Cloud NetApp卷API。
身份和访问管理
身份和访问管理("IAM"是一项标准服务,可用于控制对Google Cloud项目实例的身份验证(登录)和授权(权限)。Google IAM可提供权限授权和删除的完整审核跟踪。目前、Google Cloud NetApp Volumes不提供控制平台审核。
授权/权限概述
IAM为Google Cloud NetApp卷提供内置的粒度权限。您可以找到 "在此填写粒度权限列表"。
IAM还提供了两个预定义角色、称为`netappcloudvolumes.admin`和`netappcloudvolumes.viewer`。可以将这些角色分配给特定用户或服务帐户。
分配适当的角色和权限、以允许IAM用户管理Google Cloud NetApp卷。
使用粒度权限的示例包括:
-
仅使用获取/列表/创建/更新权限构建自定义角色、以使用户无法删除卷。
-
使用仅具有`snapshot.*`权限的自定义角色创建用于构建应用程序一致的Snapshot集成的服务帐户。
-
构建自定义角色、将`volumereplication *`委派给特定用户。
服务帐户
要通过脚本或调用Google Cloud NetApp卷API "Terraform",您必须创建具有角色的服务帐户 roles/netappcloudvolumes.admin。您可以使用此服务帐户以两种不同方式生成对Google Cloud NetApp卷API请求进行身份验证所需的JWT令牌:
-
生成JSON密钥并使用Google API从该密钥派生JWT令牌。这是最简单的方法、但涉及手动密钥(JSON密钥)管理。
-
使用 … "服务帐户模拟" 使用`Roles/iam.serviceAccountTokenCreator`。代码(脚本、Terraform等)运行 "应用程序默认凭据" 并模拟服务帐户以获取其权限。此方法反映了Google的安全最佳实践。
请参见 "正在创建服务帐户和私钥" 有关详细信息、请参见Google云文档。
Google Cloud NetApp卷API
Google Cloud NetApp卷API使用HTTPS (TLSv1.2)作为底层网络传输、从而使用基于REST的API。有关最新的API定义 "此处"和如何使用API的信息,请参见 "Google云文档中的Cloud Volumes API"。
API端点由NetApp使用标准HTTPS (TLSv1.2)功能进行操作和保护。
JWT令牌
使用JWT承载令牌对API进行身份验证 ("RFC-7519")。必须使用Google Cloud IAM身份验证获取有效的JWT令牌。必须通过提供服务帐户JSON密钥从IAM提取令牌来完成此操作。
审核日志记录
目前、没有用户可访问的控制平面审核日志。