+38 (044) 277-23-23БЦ «Панорама на Печерську», 2 поверх, офіс 4-5 Є.Коновальця, 44-Б, Київ, Україна

Võru tn 165, Ropka Tartu, Estonia

Bulevardul Corneliu Coposu 6-8 București, Romania

Ми використовуємо файли cookie для нашого веб-сайту.Продовжуючи перегляд сайту, ви погоджуєтеся з використанням нами файлів cookie.

Читати повністю
Приймаю
Головна Блог Новини Google Cloud Platform: управління ідентифікацією та доступом

Google Cloud Platform: управління ідентифікацією та доступом

Отримати консультацію

Розуміння ролей та доступів є невід’ємною та дуже важливою частиною роботи в команді тому потрібно правильно їх налаштувати. 


Керування ідентифікацією та доступом (IAM) дозволяє створювати дозволи для ресурсів Google Cloud та керувати ними. IAM об’єднує контроль доступу до сервісів Google Cloud в єдину систему і є узгодженим набором операцій. Політики IAM містять роль, користувача або групу користувачів. Кожна роль містить у собі перелік дозволів.


Ієрархія ресурсів


Ключовою концепцією Cloud IAM є використання ієрархічного підходу до реалізації IAM, що протікає від вузла “Організація” вниз. GCP дозволяє групувати та ієрархічно організовувати всі ресурси GCP у контейнери ресурсів, такі як організації, папки та проекти.

На наступній діаграмі показаний приклад різних ресурсів та їх ієрархічної організації у GCP.

Якщо ви встановлюєте політику на рівні організації, всі її дочірні папки та проекти успадковують цю політику. Аналогічно, якщо ви встановлюєте політику на рівні проекту, її дочірні ресурси також успадковують цю політику. Іншими словами, політика для ресурсу фактично є об’єднанням політик, встановлених для ресурсу, а також усіх політик, які він успадковує.
Більш детально про концепцію за посиланням

Що таке Ролі?

Роль містить набір дозволів, який дозволяє виконувати певні дії із ресурсами Google Cloud. Декілька дозволів бажано збирати в окрему роль, яку призначати групі користувачів, замість роздавати дозволи безпосередньо користувачам.

Визначте функціональні або специфічні для продукту ролі

Є два підходи: використовувати функціональну роль або встановлювати доступ відповідно до даних або типу продукту.

Зазвичай перші кілька політик IAM, які вам потрібно зіставити, є функціональними та заснованими на ролях, наприклад, існуючі ролі мережі та виставлення рахунків.

Обмеження доступу за продуктом, тим часом, розглядає певний ресурс і зосереджується на визначенні політики, орієнтованої на цей ресурс. Наприклад, ви можете обмежити доступ до певних сегментів Cloud Storage, наборів даних BigQuery або тем і підписок Pub/Sub.

Типи ролей

В IAM є три типи ролей:

  • Основні ролі ( Basic ), які включають ролі власника, редактора та глядача, які існували до впровадження IAM.
  • Попередньо визначені ролі (Predefined), які забезпечують детальний доступ до певної служби та керуються Google Cloud.
  • Користувацькі ролі (Custom), які відповідають вашим потребам безпеки. 

Створюючи користувацьку роль, ми рекомендуємо починати з наявної попередньо визначеної ролі та додавати або видаляти до неї дозволи, а не починати з порожнього списка дозволів.

Що таке сервісні акаунти?

Обліковий запис служби (сервісний акаунт) — це особливий тип облікового запису, який використовується програмою або обчислювальним робочим навантаженням, наприклад екземпляром віртуальної машини Compute Engine (VM), а не особою.

Відмінності сервісних облікових записів від звичайних

  • Сервісні облікові записи не мають паролів і не можуть увійти через браузери або файли cookie.
  • Сервісні облікові записи пов’язані з парами ключів публічного та приватного RSA, які використовуються для аутентифікації в Google.
  • Ви можете дозволити іншим користувачам або обліковим записам служби видавати себе за обліковий запис служби.
  • Сервісні облікові записи не належать до вашого домену Google Workspace, на відміну від облікових записів користувачів.

Так як права та ролі безпосередньо пов’язані з Вашою безпечною роботою в Google Cloud, ми рекомендуємо відповідально ставитись до Cloud IAM. Правильне і належне використання сервісу забезпечує безпечну роботу вашої інфраструктури.

Рекомендації

  1. Дотримуйтесь принципу меншого привілею. Надавайте ролі у найменшому необхідному масштабі. Наприклад, якщо користувачеві потрібний доступ лише для публікації тем Pub/Sub, надайте користувачеві роль видавця для цієї теми.
  2. Надавайте права на групи, а не окремих користувачів.
  3. Використовуйте відображуване ім’я облікового запису служби, щоб відстежувати, для чого вони використовуються і які дозволи мають бути.

    Більше рекомендацій за посиланням Using IAM securely. 

З приводу замовлень та консультацій сервісів компанії Google звертайтесь до менеджерів компанії Wise IT або за тел +38 (044) 277-23-23 або заповніть формузворотнього зв’язку.