本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

控制面板架構

02/09/2024 貢獻者

所有的功能都是透過API來執行。Cloud Volumes Service整合至GCP雲端主控台的BIOS管理也會使用此功能的Cloud Volumes Service Cloud Volumes Service

身分識別與存取管理

身分識別與存取管理 ("IAM"）是一項標準服務、可讓您控制Google Cloud專案執行個體的驗證（登入）和授權（權限）。Google IAM提供完整的權限授權與移除稽核追蹤。目前Cloud Volumes Service 無法提供控制面板稽核。

授權/權限總覽

IAM提供Cloud Volumes Service 內建的精細權限來執行功能。您可以找到 "請在此填寫詳細權限清單"。

IAM也提供兩種預先定義的角色：「netappcloudVolumes.admin」和「netappcloudVolumes.viewer」。這些角色可指派給特定使用者或服務帳戶。

指派適當的角色和權限、讓IAM使用者能夠管理Cloud Volumes Service 功能。

使用精細權限的範例包括：

建立只有「Get / List / cred/ update」權限的自訂角色、讓使用者無法刪除磁碟區。
使用僅具有「napshot.*」權限的自訂角色、建立用於建置應用程式一致Snapshot整合的服務帳戶。
建立自訂角色、將「volumereplication*」委派給特定使用者。

服務帳戶

透過Cloud Volumes Service 指令碼或進行功能不均的API呼叫 "Terraform"、您必須建立角色為「角色/netappcloudVolumes.admin」的服務帳戶。您可以使用此服務帳戶、以Cloud Volumes Service 兩種不同的方式產生驗證申請表API要求所需的JWT權杖：

產生Json金鑰、並使用Google API從其衍生JWT權杖。這是最簡單的方法、但需要手動管理機密（Json金鑰）。
使用 "服務帳戶模擬" 使用角色/iam.serviceAccountTokenCreator`。程式碼（指令碼、Terraform等）會與一起執行 "應用程式預設認證" 並模擬服務帳戶以取得其權限。這種方法反映了Google的最佳安全實務做法。

請參閱 "建立您的服務帳戶和私密金鑰" 如需詳細資訊、請參閱Google雲端文件。

部分API Cloud Volumes Service

利用HTTPS（TLSv1.2）作為基礎網路傳輸、藉此使用REST型API。Cloud Volumes Service您可以找到最新的API定義 "請按這裡" 以及如何使用API的相關資訊、請參閱 "Google雲端文件中的Cloud Volumes API"。

API端點由NetApp使用標準HTTPS（TLSv1.2）功能來操作及保護。

JWT權杖

API驗證是以JWT承載權杖執行 ("RFC-7519"）。必須使用Google Cloud IAM驗證來取得有效的JWT權杖。這必須透過提供服務帳戶Json金鑰、從IAM擷取權杖來完成。

稽核記錄

目前沒有使用者可存取的控制面板稽核記錄可供使用。