本文介绍了Google Cloud Platform (GCP) 中的安全责任分担模型,强调了IAM(Identity and Access Management)在授权管理中的作用。讨论了GCP的资源分层,包括组织节点、文件夹、项目和资源,并解释了如何通过IAM角色进行权限控制。同时,文章涵盖了用户管理和GCP的不同登录方式,如GCP Console、Cloud Shell等。
最后更新2022/02/02
gcp如果粗略参考着安全相关的内容,可以这么划分边界:
- google负责和管理基础设施安全
- 用户负责自身数据安全
- google为你提供各种最佳实践、模板、产品和解决方案
再进一步说,可以再详细切分一下:
图中黄色部分由google负责,篮色部分由用户负责,这算是个分工界面定义吧,最左侧,全是篮色,那就是传统的方案:用户自己全管,自己建数据中心、采购设备等等。右侧则依次根据用户使用gcp的程度,有不同的分工界面。当然,google不会忘记自我吹捧一下:由于哥的规模太大了,远超你们普通用户自己芝麻绿豆大的数据中心,所以我可以达到最高水准的安全,如果你们自己负担,可能是花不起这个钱的,但哥有的是钱!既要最好,不怕最贵。而且,只要你用了哥的gcp,直接就享受到这最顶级的安全保证,哪怕你只租一粒芝麻大的虚机,这便宜你占大了!
当然,尽管安全,哥也不能啥都帮你做,有些事还得你自己亲历亲为,但哥给你准备好了各种工具,例如IAM(identity access management),可以帮你快速部署并在特定层面实现你的安全要求。
万事安全第一,动手之前先讲安全(授权)
安全与资源分层有关,前面介绍过google的资源分为:
- organize node组织节点,通常来说一个公司就是一个组织节点,它应该覆盖公司的所有资源,如果不考虑对外服务,那么把所有资源封闭在一起,对外面(互联网)不可见也是可能的;
- folders直译是抽屉、打包,对应的可能可以算是一个机构吧,就是能或者需要独立实现某些功能。同时,folder还能层级包容,就是一个floder下面包含几个floder。这样赋予某个floder的(安全)特性,就可以传递给下属folder;
- projects项目,这个有点阶段性、局部性的意味,但应该还是一个完整的功能整体;
- resources资源,这是具体资源了,脱离了相关性,单以IT视角查看,例如vm,storage等等; <
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
