Google Cloud כולל את הפתרון 'ניהול זהויות והרשאות גישה (IAM)', שמאפשר לתת גישה פרטנית יותר למשאבים ספציפיים ב-Google Cloud ולמנוע גישה לא רצויה למשאבים אחרים. בדף הזה מתוארים התפקידים ב-Service Directory API. למידע מפורט על IAM, תוכלו לעיין במסמכי העזרה של IAM .
בעזרת IAM תוכלו לשמור על עקרון האבטחה של הרשאות מינימליות , וכך לתת רק למי שצריך את רמת הגישה שצריך למשאבים השונים.
בעזרת IAM אפשר לקבוע למי יש אילו הרשאות למשאבים מסוימים באמצעות הגדרת כללי מדיניות ב-IAM. כללי המדיניות ב-IAM מקצים למשתמשים תפקידים ספציפיים עם הרשאות ספציפיות.
הרשאות ותפקידים
כדי להפעיל כל method של Service Directory API, למבצע הקריאה צריכות להיות הרשאות IAM הנדרשות. אפשר להקצות הרשאות באמצעות הענקת תפקידים למשתמש, לקבוצה או לחשבון שירות. בנוסף לתפקידים הבסיסיים 'בעלים', 'עריכה' ו'צפייה', אפשר להעניק למשתמשים בפרויקט תפקידים ב-Service Directory API.
הרשאות
במסמכי העזרה של Service Directory API מפורטות ההרשאות הנדרשות לכל method.
תפקידים
Role
Permissions
Service Directory Admin
(roles/servicedirectory.admin )
Full control of all Service Directory resources and permissions.
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.*
servicedirectory.endpoints.create servicedirectory.endpoints.delete servicedirectory.endpoints.getservicedirectory.endpoints.getIamPolicy servicedirectory.endpoints.list servicedirectory.endpoints.setIamPolicy servicedirectory.endpoints.update
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.*
servicedirectory.namespaces.associatePrivateZone servicedirectory.namespaces.create servicedirectory.namespaces.delete servicedirectory.namespaces.get servicedirectory.namespaces.getIamPolicy servicedirectory.namespaces.list servicedirectory.namespaces.setIamPolicy servicedirectory.namespaces.update
servicedirectory.networks.attach
servicedirectory.services.*
servicedirectory.services.bindservicedirectory.services.create servicedirectory.services.delete servicedirectory.services.getservicedirectory.services.getIamPolicy servicedirectory.services.listservicedirectory.services.resolve servicedirectory.services.setIamPolicy servicedirectory.services.update
Service Directory Editor
(roles/servicedirectory.editor )
Edit Service Directory resources.
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.create
servicedirectory.endpoints.delete
servicedirectory.endpoints.get
servicedirectory.endpoints.getIamPolicy
servicedirectory.endpoints.list
servicedirectory.endpoints.update
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.associatePrivateZone
servicedirectory.namespaces.create
servicedirectory.namespaces.delete
servicedirectory.namespaces.get
servicedirectory.namespaces.getIamPolicy
servicedirectory.namespaces.list
servicedirectory.namespaces.update
servicedirectory.networks.attach
servicedirectory.services.bind
servicedirectory.services.create
servicedirectory.services.delete
servicedirectory.services.get
servicedirectory.services.getIamPolicy
servicedirectory.services.list
servicedirectory.services.resolve
servicedirectory.services.update
Service Directory Viewer
(roles/servicedirectory.viewer )
View Service Directory resources.
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.get
servicedirectory.endpoints.getIamPolicy
servicedirectory.endpoints.list
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.get
servicedirectory.namespaces.getIamPolicy
servicedirectory.namespaces.list
servicedirectory.services.get
servicedirectory.services.getIamPolicy
servicedirectory.services.list
servicedirectory.services.resolve
Service Directory Network Attacher
(roles/servicedirectory.networkAttacher )
Gives access to attach VPC Networks to Service Directory Endpoints
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.networks.attach
Private Service Connect Authorized Service
(roles/servicedirectory.pscAuthorizedService )
Gives access to VPC Networks via Service Directory
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.networks.access
Service agent roles
Service agent roles should only be granted to service agents .
Role
Permissions
Service Directory Service Agent
(roles/servicedirectory.serviceAgent )
Give the Service Directory service agent access to Cloud Platform resources.
Warning: Do not grant service agent roles to any principals except
service agents .
container.clusters.get
gkehub.features.get
gkehub.gateway.delete
gkehub.gateway.generateCredentials
gkehub.gateway.get
gkehub.gateway.patch
gkehub.gateway.post
gkehub.gateway.put
gkehub.locations.*
gkehub.locations.getgkehub.locations.list
gkehub.memberships.get
gkehub.memberships.list
resourcemanager.projects.get
resourcemanager.projects.list
servicedirectory.endpoints.create
servicedirectory.endpoints.delete
servicedirectory.endpoints.get
servicedirectory.endpoints.getIamPolicy
servicedirectory.endpoints.list
servicedirectory.endpoints.update
servicedirectory.locations.*
servicedirectory.locations.getservicedirectory.locations.list
servicedirectory.namespaces.associatePrivateZone
servicedirectory.namespaces.create
servicedirectory.namespaces.delete
servicedirectory.namespaces.get
servicedirectory.namespaces.getIamPolicy
servicedirectory.namespaces.list
servicedirectory.namespaces.update
servicedirectory.networks.attach
servicedirectory.services.bind
servicedirectory.services.create
servicedirectory.services.delete
servicedirectory.services.get
servicedirectory.services.getIamPolicy
servicedirectory.services.list
servicedirectory.services.resolve
servicedirectory.services.update
בקרת גישה באמצעות מסוף Google Cloud
אתם יכולים להשתמש במסוף Google Cloud כדי לנהל את בקרת הגישה למאגר.
כדי להגדיר אמצעי בקרה לגישה ברמת הפרויקט:
המסוף
נכנסים לדף IAM במסוף Google Cloud .
כניסה לדף IAM
בוחרים את הפרויקט מהתפריט הנפתח בחלק העליון.
לוחצים על הוספה .
בשדה New principals , מזינים את כתובת האימייל של חשבון משתמש חדש.
בוחרים את התפקיד הרצוי מהתפריט הנפתח: servicedirectory.admin, servicedirectory.editor או servicedirectory.viewer.
לוחצים על Save .
מוודאים שחשבון המשתמש מופיע עם התפקיד שהקציתם לו.
אזורים ב-Service Directory מבטלים הגבלות ב-IAM
כשמקצים מרחב שמות לאזור Service Directory, שמות השירותים הופכים גלויים לכל הלקוחות בכל הרשתות שמורשות לשלוח שאילתות לאזור הפרטי. אין בקרת גישה בפלטפורמה לניהול הזהויות והרשאות הגישה ל-DNS, כי פרוטוקול ה-DNS לא מספק יכולת אימות.
המאמרים הבאים
