Поиск по сайту:

Руководство для начинающих по управлению разрешениями в Google Cloud Platform

Google Cloud Platform защищена своей системой управления идентификацией и доступом, которая контролирует разрешения для каждого пользователя в вашем проекте. Если вы переходите с AWS, GCP работает немного по-другому.

Как работают разрешения?

Если вы привыкли к одноименной системе IAM AWS, вы можете узнать здесь некоторые ключевые слова, но они означают разные вещи. С помощью IAM от Google вы управляете контролем доступа, «определяя кто (идентификатор) имеет какой доступ (роль) для какого ресурса».

Во-первых, личность. Это могут быть отдельные учетные записи пользователей Google или учетные записи G Suite, которые имеют доступ к проекту, или учетная запись службы, которая может использоваться для предоставления доступа к приложению, или целая группа Google. Все эти разные типы пользователей будут иметь разные способы доступа к ресурсам GCP, но разрешения обрабатываются одинаково.

Несколько разрешений сгруппированы в «Роли», которые предоставляются определенным пользователям. В отличие от AWS, роли не предоставляют детального доступа к какому-либо конкретному ресурсу. Вместо этого роли — это общие вещи, которые можно применять к нескольким ресурсам, например «Администратор экземпляра», «Просмотрщик» или «Редактор». Если он прикреплен к пользователю, он предоставит разрешения для всего проекта для всех ресурсов в учетной записи. Если он прикреплен к отдельному ресурсу, он предоставит разрешения для этого ресурса.

Роли и удостоверения связаны друг с другом в IAM-политике, которая определяет, какие роли каким удостоверениям предоставляются. Политики IAM прикрепляются непосредственно к экземплярам, а не определяются в консоли IAM.

В итоге вы получите систему, в которой вы можете просто добавлять людей к отдельным ресурсам, таким как экземпляры Compute Engine, и назначать им определенные роли, предоставляющие им доступ к данному ресурсу.

Из-за этого детализированные разрешения обрабатываются на уровне ресурсов в настройках этих ресурсов. Для Compute Engine вы назначаете списку участников определенную роль, например администратора экземпляра, которая позволяет им управлять экземпляром.

Использование IAM-консоли

Все различные настройки IAM обрабатываются в разделе IAM GCP. В разделе «IAM» вы найдете элементы управления для просмотра участников проекта, а также для добавления новых участников.

При добавлении или редактировании пользователей вы можете предоставить им разрешения на уровне проекта, такие как «Просмотрщик», «Редактор» или «Владелец», или определенные разрешения для применения ко всему типу ресурсов, а не к конкретным ресурсам, таким как отдельные экземпляры Compute Engine или сегменты Cloud Storage.

Что касается разрешений, то их предопределено множество, и из-за того, что вы назначаете их вручную для определенных ресурсов, вам не придется создавать их почти так же часто, как для политик AWS. Однако, если вы хотите отредактировать их, вы можете сделать это на вкладке «Роли» в консоли IAM.

Отсюда нажмите «Добавить разрешения», чтобы изменить роль.

Здесь много разрешений, поэтому определенно помогает фильтровать их по типу службы и искать их вручную. Вы также можете фильтровать по ролям, чтобы выбрать разрешения из предопределенных ролей.