Khi bạn chạy khối lượng công việc trong GCP, bạn sử dụng các dự án để sắp xếp chúng. Bạn sử dụng Google Cloud Identity và Access Management còn được gọi là IM hoặc IAM để kiểm soát ai có thể làm gì. Bạn cũng sử dụng lựa chọn một số giao diện để kết nối. Chúng ta sẽ học những điều cơ bản này trong tuần này
Dự án là cách chính để tổ chức tài nguyên trong GCP. Bạn có thể sử dụng chúng để nhóm các tài nguyên có liên quan lại với nhau, thường là những tài nguyên có mục tiêu kinh doanh chung
Nguyên tắc đặc quyền tối thiểu
Mỗi người dùng chỉ nên có những đặc quyền cần thiết để thực hiện công việc của họ. Trong một môi trường ít đặc quyền nhất, mọi người được bảo vệ khỏi toàn bộ lỗi. Nguyên tắc đặc quyền tối thiểu là rất quan trọng khi quản lý bất kỳ loại cơ sở hạ tầng điện toán nào [trên đám mây hoặc tại chỗ].
Có bốn cách để tương tác với lớp quản lý GCP
- mặc dù một bảng điều khiển dựa trên web
- thông qua SDK và các công cụ dòng lệnh của nó
- mặc dù API
- mặc dù ứng dụng di động
Khi bạn xây dựng một ứng dụng trên cơ sở hạ tầng tại chỗ của mình, bạn chịu trách nhiệm về toàn bộ bảo mật ngăn xếp. Điều này sẽ bao gồm bảo mật vật lý của phần cứng, cơ sở đặt chúng, mã hóa dữ liệu trên đĩa, tính toàn vẹn của mạng của bạn, thậm chí bảo mật nội dung được lưu trữ trong các ứng dụng đó
GCP sẽ xử lý nhiều lớp bảo mật thấp hơn, nhưng các ngăn xếp trên vẫn do khách hàng chịu trách nhiệm. Tuy nhiên, Google cung cấp các công cụ như IAM để giúp khách hàng thực hiện các chính sách mà họ chọn
Hệ thống phân cấp tài nguyên GCP
Chúng ta sẽ bắt đầu từ dưới lên. Tất cả các tài nguyên bạn sử dụng, cho dù chúng là máy ảo, bộ chứa lưu trữ đám mây, bảng và truy vấn lớn hay bất kỳ thứ gì khác trong GCP đều được tổ chức thành các dự án. Các dự án có thể được tổ chức thành các thư mục. Các thư mục có thể chứa các thư mục khác. Tất cả các thư mục và dự án được sử dụng bởi tổ chức của chúng tôi có thể được tập hợp lại dưới một nút tổ chức. Các nút dự án, thư mục và tổ chức đều là những nơi có thể xác định các chính sách. Một số khoảng trống của GCP cũng cho phép bạn đặt chính sách cho các tài nguyên riêng lẻ, chẳng hạn như bộ chứa Lưu trữ đám mây. Các chính sách được kế thừa xuống trong hệ thống phân cấp
Tất cả tài nguyên nền tảng Google Cloud đều thuộc về một dự án. Các dự án là cơ sở để bật và sử dụng các dịch vụ GCP — như quản lý API, bật thanh toán, thêm và xóa cộng tác viên, bật các dịch vụ GCP khác. Mỗi dự án là một ngăn riêng biệt và mỗi tài nguyên thuộc về chính xác một
Các dự án có thể có chủ sở hữu và người dùng khác nhau — chúng được xây dựng và quản lý riêng biệt. Mỗi dự án GCP có tên và ID dự án mà bạn sẽ chỉ định. Id dự án là vĩnh viễn, không thể thay đổi và là mã định danh duy nhất trên tất cả GCP. Bạn sử dụng Id dự án trong nhiều ngữ cảnh để cho GCP biết bạn muốn làm việc với dự án nào. GCP cũng sẽ chỉ định cho mỗi dự án của bạn một số dự án duy nhất mà bạn sẽ thấy được hiển thị trong các ngữ cảnh khác nhau. Nói chung, Id dự án được tạo ra để con người có thể đọc được và được tham chiếu trong các dự án
Bạn có thể tổ chức các dự án thành các thư mục [không bắt buộc]. Một ví dụ sẽ là tổ chức các thư mục để đại diện cho các phòng ban, nhóm, ứng dụng hoặc môi trường trong tổ chức của bạn. Các thư mục cho phép các nhóm dễ dàng ủy quyền quản trị để mỗi người có thể làm việc độc lập. Tài nguyên trong một thư mục sẽ kế thừa các chính sách IAM từ thư mục mẹ
Trong ví dụ trên, bạn có thể đặt các chính sách IAM của mình vào thư mục B nếu cả project_3 và project_4 đều do cùng một nhóm quản lý. Điều này giúp giảm sai sót và công việc tẻ nhạt
nút tổ chức
Để sử dụng các thư mục, bạn cần có một nút tổ chức ở đầu hệ thống phân cấp. Đây là nơi có thể có tầm nhìn tập trung về cách sử dụng tài nguyên và các chính sách được áp dụng tập trung. Bạn có thể chỉ định quản trị viên chính sách tổ chức để chỉ những người có đặc quyền mới có thể thay đổi chính sách. Bạn cũng có thể chỉ định vai trò người tạo dự án — một cách tuyệt vời để kiểm soát ai có thể tiêu tiền
Khi bạn có một nút tổ chức, bạn có thể tạo các thư mục bên dưới nút đó và tạo các dự án. Dưới đây là một ví dụ về kế thừa từ một nút tổ chức. Một điều cần lưu ý. các chính sách được triển khai ở cấp cao hơn trong hệ thống phân cấp này không thể lấy đi quyền truy cập được cấp ở cấp thấp hơn
Đánh giá — Hệ thống phân cấp tài nguyên của Google Cloud Platform
Chọn cách hoàn thành chính xác. Các dịch vụ và API được kích hoạt trên cơ sở mỗi ______.
Dự án
Đúng hay sai. Google quản lý mọi khía cạnh bảo mật của khách hàng Google Cloud Platform.
Sai
Công ty của bạn có hai dự án GCP và bạn muốn họ chia sẻ chính sách. Cách ít bị lỗi hơn để thiết lập điều này là gì?
Đặt cả hai dự án vào một thư mục, xác định các chính sách trên thư mục
Quản lý danh tính và truy cập [IAM]
IAM cho phép quản trị viên ủy quyền cho ai có thể thực hiện hành động đối với các tài nguyên cụ thể. Chính sách IAM có “ai” và “có thể làm gì” và “trên tài nguyên nào”
- "ai?"
- “có thể làm gì” được xác định bởi vai trò IAM [tập hợp các quyền]
hầu hết thời gian, để thực hiện bất kỳ thao tác có ý nghĩa nào, bạn sẽ cần nhiều hơn một quyền. Một ví dụ là quản lý các phiên bản trong một dự án — bạn sẽ cần tạo, xóa, bắt đầu, dừng và thay đổi một phiên bản. Vì vậy, các quyền được nhóm lại với nhau thành một vai trò để dễ quản lý hơn
Có ba loại vai trò trong IAM
Các vai trò này rất rộng, bạn có thể áp dụng chúng cho một dự án GCP và chúng ảnh hưởng đến tất cả các tài nguyên trong dự án đó. Đây là vai trò của chủ sở hữu, người chỉnh sửa và người xem
- chủ sở hữu — làm mọi thứ mà trình chỉnh sửa có thể làm cộng với quản lý quyền và vai trò trên tài nguyên [đồng thời cho phép bạn thiết lập thanh toán]
- trình chỉnh sửa - làm mọi thứ mà người xem có thể cộng với thay đổi trạng thái
- viewer - kiểm tra nhưng không thay đổi trạng thái
vai trò IAM
Vai trò quản trị phiên bản máy tính cho phép bất kỳ ai có vai trò đó thực hiện một nhóm hành động nhất định trên máy ảo
Những hành động này là
- liệt kê chúng
- đọc và thay đổi cấu hình
- bắt đầu và dừng lại
Trên máy ảo nào bạn có thể yêu cầu? . Ví dụ dưới đây cho thấy rằng tất cả những thứ này đều được xác định trên project_a
Nếu cần các vai trò thậm chí chi tiết hơn, thì có các vai trò tùy chỉnh. Bạn có thể quen thuộc với mô hình ít đặc quyền nhất trong đó mỗi người trong tổ chức của bạn có số lượng đặc quyền tối thiểu cần thiết để thực hiện công việc của mình. Một ví dụ có thể là — có thể tôi muốn xác định Vai trò InstanceOperator để cho phép một số người dùng khởi động và dừng Compute Engine và máy ảo, nhưng không định cấu hình lại chúng. Vai trò tùy chỉnh cho phép chúng tôi làm điều đó
Vai trò tùy chỉnh chỉ có thể được sử dụng ở cấp dự án hoặc tổ chức, không phải cấp thư mục
Ngoài ra còn có tùy chọn cấp quyền truy cập, chẳng hạn như máy ảo Compute Engine, thay vì một người. Đây là lúc bạn sẽ sử dụng tài khoản dịch vụ. Chẳng hạn, có thể bạn có một ứng dụng chạy trong máy ảo cần lưu trữ dữ liệu trong Google Cloud Storage, nhưng bạn không muốn cho phép bất kỳ ai trên Internet có quyền truy cập vào dữ liệu đó, chỉ máy ảo đó. Vì vậy, bạn sẽ tạo một tài khoản dịch vụ để xác thực máy ảo của mình với bộ nhớ đám mây
Tài khoản dịch vụ được đặt tên với một địa chỉ email. Nhưng thay vì mật khẩu, họ sử dụng khóa mật mã để truy cập tài nguyên. Trong ví dụ đơn giản này, một tài khoản dịch vụ đã được cấp Vai trò InstanceAdmin của Compute Engine. Điều này sẽ cho phép một ứng dụng chạy trong máy ảo có tài khoản dịch vụ đó tạo, sửa đổi và xóa các máy ảo khác
Tài khoản dịch vụ cũng cần được quản lý. Ngoài vai trò là danh tính, tài khoản dịch vụ còn là tài nguyên. Vì vậy, nó có thể có chính sách IAM của riêng mình
Trắc nghiệm — Tài nguyên và IAM
Khi nào bạn chọn có nút tổ chức?
Khi nào bạn muốn tạo thư mục. Các thư mục yêu cầu một nút tổ chức. Các nút tổ chức là tùy chọn, nhưng nếu bạn muốn tạo các thư mục thì bắt buộc phải có một nút.
Khi bạn muốn áp dụng tập trung các chính sách toàn tổ chức. Các nút tổ chức cho phép bạn áp dụng các chính sách một cách tập trung. Các nút tổ chức là tùy chọn, nhưng nếu bạn muốn xác định các chính sách áp dụng cho tất cả các dự án trong tổ chức của mình thì bắt buộc phải có một nút
Sắp xếp các loại vai trò IAM này từ rộng nhất đến chi tiết nhất.
Vai trò ban đầu, vai trò được xác định trước, vai trò tùy chỉnh
Các chính sách IAM được triển khai ở cấp cao hơn trong hệ thống phân cấp tài nguyên có thể lấy đi quyền truy cập được cấp bởi các chính sách cấp thấp hơn không?
Không. Các chính sách được triển khai ở cấp cao hơn trong hệ thống phân cấp không thể lấy đi quyền truy cập được cấp ở cấp thấp hơn. Ví dụ: giả sử một chính sách được áp dụng cho một dự án cấp cho người dùng Jane quyền sửa đổi bộ chứa Cloud Storage. Nhưng một chính sách ở cấp độ tổ chức nói rằng cô ấy chỉ có thể xem các bộ chứa Cloud Storage chứ không thể thay đổi chúng. Chính sách hào phóng hơn là chính sách có hiệu lực. Jane có thể sửa đổi thùng.
So với AWS IAM
Những chàng trai hư cũng làm điều tương tự. Tất cả chỉ là một cơ chế để đảm bảo quyền và xác thực người dùng cho đám mây. Dưới đây là một biểu đồ cho thấy ngắn gọn sự khác biệt
Tương tác với GCP
Có bốn cách để tương tác với GCP. Bảng điều khiển, SDK và Cloud Shell, Ứng dụng dành cho thiết bị di động và API
Bảng điều khiển GCP
Giao diện quản trị dựa trên web. Nó cho phép bạn xem và quản lý tất cả các dự án và tất cả các tài nguyên mà họ sử dụng. Bảng điều khiển GCP cũng cho phép bạn bật, tắt và khám phá API của các dịch vụ GCP
vỏ mây
Giao diện dòng lệnh cho GCP dễ dàng truy cập từ trình duyệt của bạn. Từ Cloud Shell, bạn có thể sử dụng các công cụ do SDK bộ phát triển phần mềm Google Cloud cung cấp mà không cần phải cài đặt chúng ở đâu đó trước. SDK là một bộ công cụ mà bạn có thể sử dụng để quản lý tài nguyên và ứng dụng của mình trên GCP. Chúng bao gồm công cụ gcloud, cung cấp giao diện dòng lệnh chính cho các sản phẩm và dịch vụ của GCP. Ngoài ra còn có gsutil dành cho Google Cloud Storage và bq dành cho BigQuery. Cách dễ nhất để nhận các lệnh SDK là nhấp vào nút Cloud Shell trên bảng điều khiển GCP. Sau đó, bạn nhận được một dòng lệnh trong trình duyệt web của mình trên một máy ảo với tất cả các lệnh này đã được cài đặt sẵn. Bạn cũng có thể cài đặt SDK trên máy tính của mình và có sẵn dưới dạng hình ảnh docker
di động
Có Ứng dụng dành cho thiết bị di động dành cho Android và iOS cho phép bạn kiểm tra và quản lý các tài nguyên bạn đang sử dụng trong GCP. Nó cho phép bạn xây dựng bảng điều khiển để bạn có thể nhận được thông tin bạn cần trong nháy mắt
API dựa trên REST
Mã của bạn có thể sử dụng các dịch vụ của Google giống như cách trình duyệt web giao tiếp với máy chủ web. LÊN ĐỈNH. Tài nguyên tên API và GCP có URL. Mã của bạn có thể chuyển thông tin tới các API bằng JSON. Có một hệ thống mở để người dùng đăng nhập và kiểm soát truy cập. Bảng điều khiển GCP cũng cho phép bạn bật và tắt API. Nhiều API bị tắt theo mặc định và nhiều API được liên kết với hạn ngạch và giới hạn. Những hạn chế này có thể giúp bảo vệ bạn khỏi việc vô tình sử dụng tài nguyên. Bạn chỉ có thể kích hoạt những API bạn cần và bạn có thể yêu cầu tăng hạn ngạch khi cần thêm tài nguyên
Trình khám phá API
Bảng điều khiển GCP bao gồm một công cụ có tên là APIs Explorer giúp bạn tìm hiểu về các API một cách tương tác. Nó cho phép bạn xem những API nào có sẵn và ở những phiên bản nào. Các API này mong đợi các tham số và tài liệu về chúng được tích hợp sẵn. Bạn có thể thử các API một cách tương tác ngay cả với xác thực người dùng. Google cung cấp các thư viện ứng dụng khách giúp thực hiện rất nhiều công việc ngoài nhiệm vụ gọi GCP từ mã của bạn
Có hai loại thư viện. Thư viện máy khách trên đám mây là các thư viện được đề xuất và mới nhất trên đám mây của Google cho các API của nó. Họ áp dụng phong cách bản địa và thành ngữ của từng ngôn ngữ. Mặt khác, đôi khi Thư viện máy khách trên đám mây không hỗ trợ các dịch vụ và tính năng mới nhất. Trong trường hợp đó, bạn có thể sử dụng Thư viện ứng dụng khách API của Google cho các ngôn ngữ mong muốn của mình. Các thư viện này được thiết kế cho tính tổng quát và đầy đủ
thị trường đám mây
Thị trường đám mây dành cho việc bắt đầu với GCP mà không cần nỗ lực nhiều. Triển khai nhanh các gói phần mềm trên GCP. giải pháp đóng gói sẵn, sẵn sàng để triển khai
Không cần phải định cấu hình phần mềm, phiên bản máy ảo, lưu trữ hoặc cài đặt mạng theo cách thủ công. Mặc dù bạn có thể sửa đổi nhiều trong số chúng trước khi khởi chạy nếu muốn