控制面板架構
建議變更
PDF
Google Cloud NetApp Volume 的所有管理動作都是透過 API 來完成。整合至 GCP 雲端主控台的 Google Cloud NetApp Volume 管理功能也使用 Google Cloud NetApp Volumes API 。
身分識別與存取管理
身分識別與存取管理("IAM"( Identity and Access Management )是一項標準服務,可讓您控制 Google Cloud 專案執行個體的驗證(登入)和授權(權限)。Google IAM提供完整的權限授權與移除稽核追蹤。目前 Google Cloud NetApp Volumes 不提供控制層稽核。
授權/權限總覽
IAM 提供 Google Cloud NetApp Volumes 的內建精細權限。您可以找到 "請在此填寫詳細權限清單"。
IAM也提供兩種預先定義的角色:「netappcloudVolumes.admin」和「netappcloudVolumes.viewer」。這些角色可指派給特定使用者或服務帳戶。
指派適當的角色和權限,以允許 IAM 使用者管理 Google Cloud NetApp Volume 。
使用精細權限的範例包括:
-
建立只有「Get / List / cred/ update」權限的自訂角色、讓使用者無法刪除磁碟區。
-
使用僅具有「napshot.*」權限的自訂角色、建立用於建置應用程式一致Snapshot整合的服務帳戶。
-
建立自訂角色、將「volumereplication*」委派給特定使用者。
服務帳戶
若要透過指令碼或呼叫 Google Cloud NetApp Volumes API , "Terraform"您必須建立具有此角色的服務帳戶 roles/netappcloudvolumes.admin。您可以使用此服務帳戶,以兩種不同方式產生驗證 Google Cloud NetApp Volumes API 要求所需的 JWT Token :
-
產生Json金鑰、並使用Google API從其衍生JWT權杖。這是最簡單的方法、但需要手動管理機密(Json金鑰)。
-
使用 "服務帳戶模擬" 使用角色/iam.serviceAccountTokenCreator`。程式碼(指令碼、Terraform等)會與一起執行 "應用程式預設認證" 並模擬服務帳戶以取得其權限。這種方法反映了Google的最佳安全實務做法。
請參閱 "建立您的服務帳戶和私密金鑰" 如需詳細資訊、請參閱Google雲端文件。
Google Cloud NetApp Volumes API
Google Cloud NetApp Volumes API 使用 REST 型 API ,使用 HTTPS ( TLSv1.2 )做為基礎網路傳輸。您可以在中找到有關如何使用 API 的最新 API 定義 "請按這裡"和資訊 "Google雲端文件中的Cloud Volumes API"。
API端點由NetApp使用標準HTTPS(TLSv1.2)功能來操作及保護。
JWT權杖
API驗證是以JWT承載權杖執行 ("RFC-7519")。必須使用Google Cloud IAM驗證來取得有效的JWT權杖。這必須透過提供服務帳戶Json金鑰、從IAM擷取權杖來完成。
稽核記錄
目前沒有使用者可存取的控制面板稽核記錄可供使用。