#google-cloud-platform
#google-облачная платформа
Вопрос:
В трех системах авторизации (ресурс, пользователь, разрешение) GCP поддерживает «группировку ресурсов» в виде иерархической «организация-папка-проект». И пользователи могут быть в «группах», разрешения могут быть сгруппированы в «роли». Но я не могу найти поддержку иерархии в последних двух. В частности, в GCP нет ни группы групп, ни ролей ролей. Похоже, что отсутствие таких иерархий затрудняет точное моделирование бизнес-единиц и ролей, а также масштабное управление в GCP.
Похоже, что AWS также не поддерживает иерархию в одной или двух группах пользователей / разрешений. Для сравнения, Oracle поддерживает иерархию группирования во всех трех.
Мне интересно, может ли кто-нибудь подтвердить приведенное выше утверждение относительно поддержки GCP и пролить больше света на любые соображения высокого уровня и / или дорожные карты будущей поддержки и / или возможные обходные пути в GCP.
Большое спасибо!
Комментарии:
1. Почему вы не можете добавлять группы в group?
Ответ №1:
На организационном уровне вы можете создать вложенную группу, как описано с точки зрения GSuite в этом документе, также возможно в IAM amp; admin, о разрешениях роли, если вы предоставите их вложенной группе, они будут унаследованы, как описано в предыдущем документе
Обновить
В IAM более высокие базовые роли (владелец) включают разрешения роли более низкого уровня (редактор), а роль редактора включает разрешения в роли просмотра.
Как вы можете видеть, существует иерархия, которая работает с получением разрешений роли более низкого уровня. если эта структура не соответствует требованиям вашей организации, вы можете выбрать предопределенные роли, которые часто используют наследование разрешений между ролями.
Комментарии:
1. Спасибо за ответ. Что касается «иерархии ролей», я не имел в виду иерархию приложений ролей, которая может быть через иерархические группы. Но я имел в виду иерархию определения ролей, чтобы роли высокого уровня можно было определять поверх ролей более низкого уровня. Это было бы полезно, если система ролей очень сложная и сложная.
2. @YanZjou Спасибо за ваши разъяснения, я обновил свой ответ, надеюсь, это поможет.
Ответ №2:
Управление идентификацией и доступом в облаке (IAM) позволяет администраторам разрешать, кто может выполнять действия с определенными ресурсами, предоставляя вам полный контроль и видимость для централизованного управления облачными ресурсами Google. Для предприятий со сложной организационной структурой, сотнями рабочих групп и множеством проектов Cloud IAM предоставляет единое представление о политике безопасности во всей организации со встроенным аудитом для упрощения процессов соответствия требованиям. Вы можете прочитать по этим ссылкам для получения дополнительной информации. 1
Эта ссылка описывает роли IAM, которые вы можете предоставить удостоверениям для доступа к облачным ресурсам Google. 2