Google Cloud Platform مؤمن من خلال نظام إدارة الهوية والوصول ، والذي يتحكم في الأذونات لكل مستخدم في مشروعك. إذا كنت تقوم بالتبديل من AWS ، فإن GCP يفعل الأشياء بشكل مختلف قليلاً.
كيف تعمل الأذونات؟
إذا كنت معتادًا على نظام IAM الذي يحمل الاسم نفسه لشركة AWS ، فقد تتعرف على بعض الكلمات الرئيسية هنا ، لكنها تعني أشياء مختلفة. باستخدام IAM من Google ، يمكنك إدارة التحكم في الوصول "من خلال تحديد من (الهوية) لديه حق الوصول (الدور) لأي مورد."
أولاً ، الهوية.يمكن أن تكون هذه حسابات مستخدمين فرديين في Google أو حسابات G Suite التي لها حق الوصول إلى المشروع ، أو حساب خدمة يمكن استخدامه لمنح الوصول للتطبيق ، أو مجموعة Google بأكملها. سيكون لجميع هذه الأنواع المختلفة من المستخدمين طرق مختلفة للوصول إلى موارد GCP ، ولكن يتم التعامل مع الأذونات بالطريقة نفسها.
يتم تجميع الأذونات المتعددة في "الأدوار" ، والتي يتم منحها لمستخدمين محددين. على عكس AWS ، لا تمنح الأدوار وصولاً دقيقًا إلى أي مورد معين. بدلاً من ذلك ، تعد الأدوار أشياء عامة يمكن تطبيقها على موارد متعددة ، مثل "مدير المثيل" أو "العارض" أو "المحرر". إذا تم إرفاقه بالمستخدم ، فسيمنح أذونات على مستوى المشروع لجميع الموارد في الحساب. إذا تم إرفاقه بمورد فردي ، فسيمنح أذونات لهذا المورد.
ترتبط الأدوار والهويات معًا في سياسة IAM ، والتي تفرض الأدوار التي يتم منحها للهويات. يتم إرفاق سياسات IAM مباشرة بالطبعات ، ولم يتم تحديدها في وحدة تحكم IAM.
ما ينتهي بك الأمر به هو نظام يمكنك من خلاله ببساطة إضافة أشخاص إلى الموارد الفردية ، مثل مثيلات Compute Engine ، ومنحهم أدوارًا محددة تتيح لهم الوصول إلى المورد المحدد.
لهذا السبب ، يتم التعامل مع الأذونات الدقيقة على مستوى الموارد في إعدادات الموارد تلك. بالنسبة إلى Compute Engine ، فإنك تعطي قائمة بالأعضاء دورًا محددًا ، مثل Instance Admin ، الذي يسمح لهم بإدارة المثيل.
استخدام وحدة تحكم IAM
يتم التعامل مع جميع إعدادات IAM المتنوعة في قسم IAM في GCP. ضمن "IAM" ، ستجد عناصر تحكم لعرض أعضاء المشروع ، بالإضافة إلى إضافة أعضاء جدد.
عند إضافة المستخدمين أو تعديلهم ، يمكنك منحهم أذونات على مستوى المشروع ، مثل العارض أو المحرر أو المالك أو أذونات محددة للتطبيق على نوع مورد كامل - وليس فقط موارد محددة مثل مثيلات Compute Engine الفردية أو Cloud دلاء التخزين.
بالنسبة للأذونات ، هناك الكثير منها محدد مسبقًا ، وبسبب الطريقة التي تخصصها يدويًا لموارد معينة ، لن تضطر إلى إنشائها تقريبًا كما تفعل مع سياسات AWS. ومع ذلك ، إذا كنت ترغب في تعديلها ، فيمكنك القيام بذلك من علامة التبويب "الأدوار" في وحدة تحكم IAM.
من هنا ، انقر فوق "إضافة أذونات" لتعديل الدور.
هناك الكثير من الأذونات هنا ، لذا من المفيد بالتأكيد تصفيتها حسب نوع الخدمة والبحث عنها يدويًا. يمكنك أيضًا التصفية حسب الدور لتحديد الأذونات من الأدوار المحددة مسبقًا.
