控制平面架構
建議變更
PDF
對Google Cloud NetApp Volumes 的所有管理作業均透過 API 完成。整合到 GCP Cloud Console 中的Google Cloud NetApp Volumes管理也使用Google Cloud NetApp Volumes API。
身分和存取管理
身分和存取管理("我是") 是一項標準服務,可讓您控制對 Google Cloud 專案執行個體的驗證(登入)和授權(權限)。 Google IAM 提供權限授權和刪除的完整稽核追蹤。目前, Google Cloud NetApp Volumes不提供控制平面稽核。
授權/許可概述
IAM 為Google Cloud NetApp Volumes提供內建的細粒度權限。您可以找到 "此處有詳細的權限完整列表"。
IAM 還提供了兩個預定義角色,稱為 netappcloudvolumes.admin`和 `netappcloudvolumes.viewer。這些角色可以指派給特定使用者或服務帳戶。
指派適當的角色和權限以允許 IAM 使用者管理Google Cloud NetApp Volumes。
使用細粒度權限的範例包括:
-
建置僅具有取得/列出/建立/更新權限的自訂角色,以便使用者無法刪除磁碟區。
-
使用僅具有 `snapshot.*`建立用於建立應用程式一致的快照整合的服務帳戶的權限。
-
建立自訂角色以進行委派 `volumereplication.*`針對特定用戶。
服務帳戶
透過腳本Google Cloud NetApp Volumes "地形",您必須建立一個服務帳戶 `roles/netappcloudvolumes.admin`角色。您可以使用此服務帳戶以兩種不同的方式產生驗證Google Cloud NetApp Volumes API 請求所需的 JWT 令牌:
-
產生 JSON 金鑰並使用 Google API 從中派生出 JWT 令牌。這是最簡單的方法,但它涉及手動機密(JSON 金鑰)管理。
-
使用 "服務帳戶模擬"和
roles/iam.serviceAccountTokenCreator。程式碼(腳本、Terraform 等)運行 "應用程式預設憑證"並模擬服務帳戶以取得其權限。這種方法體現了 Google 安全最佳實踐。
看 "建立您的服務帳戶和私鑰"請參閱 Google 雲端文件以取得更多資訊。
Google Cloud NetApp VolumesAPI
Google Cloud NetApp Volumes API 使用基於 REST 的 API,並使用 HTTPS(TLSv1.2)作為底層網路傳輸。您可以找到最新的 API 定義 "這裡"以及如何使用 API 的訊息 "Google 雲端文件中的 Cloud Volumes API"。
NetApp使用標準 HTTPS(TLSv1.2)功能來操作和保護 API 端點。
JWT 令牌
使用 JWT 承載令牌執行 API 驗證("RFC-7519")。必須使用 Google Cloud IAM 驗證來取得有效的 JWT 令牌。這必須透過提供服務帳戶 JSON 金鑰從 IAM 取得令牌來完成。
審計日誌
目前,沒有可供使用者存取的控制平面稽核日誌。