tocdepth

2

Управление доступом в облаке Advanced

Информация в этом разделе поможет организовать управление пользователями, группами, ролями и политиками в процессе предоставления пользователям доступа к облаку Advanced.

С помощью IAM возможно:

  • Реализовать механизм управления доступом к облачным ресурсам в рамках компании.

  • Предоставлять разным командам различный уровень доступа к разным средам.

  • Получать отчетность по потреблению ресурсов в различных разрезах.

Ресурсы в облаке Advanced разделяются на разные IAM и Enterprise-проекты с целью предоставления различным командам гранулярного контроля доступа к ресурсам.

IAM-проект — сущность для группировки и изоляции облачных ресурсов.

Enterprise-проект — сущность для логической группировки облачных ресурсов.

Проекты формируются в зависимости от:

  • Назначения ресурсов — общие ресурсы или конкретная система.

  • Типа информационной среды — разработка, тестирование, продуктивная.

Рассмотрим распределение облачных ресурсов в облаке Advanced по IAM-проектам на основе следующей схемы:

../../_images/schm__templates_access-control_adv_iam_access-control-general-scheme.svg

Для организации системы управления доступом (IAM) в облаке Advanced доступны два варианта реализации:

Первый вариант

  • Каждая среда каждой системы — отдельный IAM-проект.

  • Логическая группировка по системам — Enterprise-проекты.

  • Права предоставляются к IAM-проектам.

Второй вариант

  • Каждая система — отдельный IAM-проект.

  • Каждая среда каждой системы — отдельный Enterprise-проект.

  • Права предоставляются к Enterprise-проектам.

Описание вариантов реализации IAM, доступных в облаке Advanced, рассмотрим относительно следующих систем, сред и команд:

  • Облачные системы — System1 и System2.

  • Среды систем — у каждой системы есть тестовая и продуктивная среда.

  • Команды:

    • разработки систем;

    • поддержки систем;

    • DevOps;

    • управления инфраструктурой и сетью.

Первый вариант реализации системы управления доступом в облаке Advanced

Предлагаемая структура проектов:

Enterprise-проект

IAM-проект

Описание

Пример ресурсов

default

default

Содержит ресурсы, общие для всех систем, развернутых в облаке.

  • Хаб-сеть

  • VPN-gateway

  • Direct Connect Virtual Gateway

  • Виртуальные машины для доступа к облачным ресурсам

  • Агенты построения CI/CD (Jenkins, Gitlab, и т.д.)

System1

System1_test_resources

Содержит ресурсы, входящие в состав тестовой среды системы System1.

  • Virtual Private Cloud

  • Elastic Cloud Server

  • Elastic Load Balancer

  • Cloud Container Engine

  • Relational Database Service

  • Web Application Firewall

System1

System1_prod_resources

Содержит ресурсы, входящие в состав продуктивной среды системы System1.

System2

System2_test_resources

Содержит ресурсы, входящие в состав тестовой среды системы System2.

System2

System2_prod_resources

Содержит ресурсы, входящие в состав продуктивной среды системы System2.

System2

System2_shared_resources

Содержит ресурсы, общие для всех сред системы System2. При отсутствии подобных ресурсов проект может отсутствовать.

  • Object Storage Service

  • Виртуальные машины с кастомными средствами мониторинга

Распределение облачных ресурсов в облаке Advanced по IAM-проектам для первого варианта реализации системы управления доступом:

../../_images/schm__templates_access-control_adv_iam_access-control-choice1.svg

Предлагаемая матрица доступа:

IAM-проект

Роли

Cloud admins

System1 developers

System1 support team

System2 developers

System2 support team

DevOps team

Infra and networking team

default

Full access

Read-only

Read-only

Read-only

Read-only

Read-only

Limited write

System1_test_resources

Full access

Full access

Full access

Limited write

Read network resources

System1_prod_resources

Full access

Read-only

Limited write

Limited write

Read network resources

System2_test_resources

Full access

Full access

Full access

Limited write

Read network resources

System2_prod_resources

Full access

Read-only

Limited write

Limited write

Read network resources

System2_shared_resources

Full access

Full access

Full access

Limited write

Read network resources

Политики доступа:

  • Full access — полный доступ на создание, чтение, изменение и удаление ресурсов.

  • Read-only — доступ на чтение ресурсов.

  • Limited write — доступ на создание, чтение и изменение ресурсов.

  • Read network resources — доступ на чтение ресурсов, относящимся к виртуальным сетям (VPC, Subnets, Peering, и т.д.).

Второй вариант реализации системы управления доступом в облаке Advanced

Предлагаемая структура проектов:

Enterprise-проект

IAM-проект

Описание

Пример ресурсов

default

default

Содержит ресурсы, общие для всех систем, развернутых в облаке.

  • Хаб-сеть

  • VPN-gateway

  • Direct Connect Virtual Gateway

  • Виртуальные машины для доступа к облачным ресурсам

  • Агенты построения CI/CD (Jenkins, Gitlab, и т.д.)

System1-test

System1

Содержит ресурсы, входящие в состав тестовой среды системы System1.

  • Virtual Private Cloud

  • Elastic Cloud Server

  • Elastic Load Balancer

  • Cloud Container Engine

  • Relational Database Service

  • Web Application Firewall

System1-prod

System1

Содержит ресурсы, входящие в состав продуктивной среды системы System1.

System2-test

System2

Содержит ресурсы, входящие в состав тестовой среды системы System2.

System2-prod

System2

Содержит ресурсы, входящие в состав продуктивной среды системы System2.

System2-shared

System2

Содержит ресурсы, общие для всех сред системы System2. При отсутствии подобных ресурсов проект может отсутствовать.

  • Object Storage Service

  • Виртуальные машины с кастомными средствами мониторинга

Распределение облачных ресурсов в облаке Advanced по IAM-проектам для второго варианта реализации системы управления доступом:

../../_images/schm__templates_access-control_adv_iam_access-control-choice2.svg

Предлагаемая матрица доступа:

IAM-проект / Enterprise-проект

Роли

Cloud admins

System1 developers

System1 support team

System2 developers

System2 support team

DevOps team

Infra and networking team

System2 / —

Full access

Limited write

Read network resources

System1 / —

Full access

Limited write

Read network resources

default / —

Read-only

Read-only

Read-only

Read-only

Read-only

Limited write

— / System1-test

Full access

Full access

— / System1-prod

Read-only

Limited write

— / System2-test

Full access

Full access

— / System2-prod

Read-only

Limited write

— / System2-shared

Full access

Full access

Политики доступа:

  • Full access — полный доступ на создание, чтение, изменение и удаление ресурсов в рамках проекта.

  • Read-only — доступ на чтение ресурсов.

  • Limited write — доступ на создание, чтение и изменение ресурсов проекта.

  • Read network resources — доступ на чтение ресурсов, относящимся к виртуальным сетям (VPC, Subnets, Peering, и т.д.).

Результат использования системы управления доступом в облаке Advanced

Предлагаемые варианты реализации системы управления доступом позволяют изолировать ресурсы различных систем при их миграции в облако Advanced или при их создании. Учитывается необходимость изоляции и предоставления различного уровня доступа к различным средам систем.

Представленные варианты позволяют формировать различные варианты выгрузок по потребленным ресурсам в разрезе облачных систем клиента и их сред.

В зависимости от требований, решение может быть масштабировано на большее количество систем, сред и команд с более гранулярным уровнем контроля доступа.

Запустили Evolution free tier
для Dev & Test
Получить