peran itu melakukan serangkaian tindakan pada mesin virtual.
Tindakannya adalah: mendaftarkan mereka,
membaca dan mengubah konfigurasi mereka,
dan memulai dan menghentikan mereka.
Dan mesin virtual mana?
Yah, itu tergantung di mana peran berlaku.
Dalam contoh ini, semua pengguna Grup Google tertentu memiliki peran,
dan mereka memilikinya di semua mesin virtual di project_a.
Jika Anda membutuhkan sesuatu yang lebih halus,
ada peran khusus.
Banyak perusahaan memiliki model yang paling tidak istimewa di mana setiap orang masuk
organisasi Anda memiliki jumlah minimum hak istimewa yang diperlukan untuk melakukan pekerjaannya.
Jadi, misalnya, mungkin saya ingin mendefinisikan
Peran InstanceOperator untuk memungkinkan
beberapa pengguna untuk memulai dan menghentikan Compute Engine dan mesin virtual,
tetapi tidak mengkonfigurasi ulang mereka.
Peran khusus memungkinkan saya melakukan itu.
Pasangan memperingatkan tentang peran khusus.
Pertama, Anda harus memutuskan untuk menggunakan peran khusus.
Anda harus mengelola izinnya.
Beberapa perusahaan memutuskan mereka lebih suka tetap dengan peran yang telah ditentukan.
Kedua, peran khusus hanya dapat digunakan di tingkat proyek atau organisasi.
Mereka tidak dapat digunakan di tingkat folder.
Bagaimana jika Anda ingin memberikan izin ke mesin virtual Compute Engine,
daripada ke seseorang?
Maka Anda akan menggunakan akun layanan.
Misalnya, mungkin Anda memiliki aplikasi yang sedang berjalan
mesin virtual yang perlu menyimpan data di Google Cloud Storage,
tetapi Anda tidak ingin membiarkan sembarang orang di Internet memiliki akses ke data itu,
hanya itu mesin virtual.
Jadi, Anda akan membuat akun layanan untuk mengautentikasi VM Anda ke penyimpanan cloud.
Akun layanan diberi nama dengan alamat email.
Tapi bukannya kata sandi,
mereka menggunakan kunci kriptografi untuk mengakses sumber daya.
Dalam contoh sederhana ini,
akun layanan telah diberikan Peran Mesin Instance dari Compute Engine.
Ini akan memungkinkan aplikasi yang berjalan di VM dengan akun layanan itu untuk membuat,
memodifikasi, dan menghapus VM lain.
Secara kebetulan, akun layanan perlu dikelola juga.
Misalnya, mungkin Alice perlu mengelola apa yang dapat bertindak sebagai akun layanan yang diberikan,
sementara Bob hanya perlu bisa melihatnya.
Untungnya, selain menjadi identitas,
akun layanan juga merupakan sumber daya.
Sehingga dapat memiliki kebijakan IAM sendiri yang melekat padanya.
Misalnya, Alice dapat memiliki peran editor di
akun layanan dan Bob dapat memiliki peran pemirsa.
Ini seperti memberikan peran untuk sumber daya GCP lainnya.
Anda dapat memberikan kelompok VM yang berbeda di proyek Anda identitas yang berbeda.
Ini membuatnya lebih mudah untuk mengelola izin yang berbeda untuk setiap grup.
Anda juga dapat mengubah izin
akun layanan tanpa harus membuat ulang VM.
Inilah contoh yang lebih kompleks.
Katakanlah Anda memiliki aplikasi yang diimplementasikan
melintasi sekelompok mesin virtual Compute Engine.
Satu komponen aplikasi Anda perlu memiliki peran editor pada proyek lain,
tetapi komponen lain tidak.
Jadi, Anda akan membuat dua akun layanan yang berbeda,
satu untuk setiap subkelompok mesin virtual.
Hanya akun layanan pertama yang memiliki hak istimewa pada proyek lainnya.
Itu mengurangi dampak potensial dari
aplikasi yang salah kode atau mesin virtual yang dikompromikan.
0 comments:
Post a Comment