Управление доступом в облаке Advanced
Информация в этом разделе поможет организовать управление пользователями, группами, ролями и политиками в процессе предоставления пользователям доступа к облаку Advanced.
С помощью IAM возможно:
Реализовать механизм управления доступом к облачным ресурсам в рамках компании.
Предоставлять разным командам различный уровень доступа к разным средам.
Получать отчетность по потреблению ресурсов в различных разрезах.
Ресурсы в облаке Advanced разделяются на разные IAM и Enterprise-проекты с целью предоставления различным командам гранулярного контроля доступа к ресурсам.
IAM-проект — сущность для группировки и изоляции облачных ресурсов.
Enterprise-проект — сущность для логической группировки облачных ресурсов.
Проекты формируются в зависимости от:
Назначения ресурсов — общие ресурсы или конкретная система.
Типа информационной среды — разработка, тестирование, продуктивная.
Рассмотрим распределение облачных ресурсов в облаке Advanced по IAM-проектам на основе следующей схемы:
Для организации системы управления доступом (IAM) в облаке Advanced доступны два варианта реализации:
- Первый вариант
Каждая среда каждой системы — отдельный IAM-проект.
Логическая группировка по системам — Enterprise-проекты.
Права предоставляются к IAM-проектам.
- Второй вариант
Каждая система — отдельный IAM-проект.
Каждая среда каждой системы — отдельный Enterprise-проект.
Права предоставляются к Enterprise-проектам.
Описание вариантов реализации IAM, доступных в облаке Advanced, рассмотрим относительно следующих систем, сред и команд:
Облачные системы — System1 и System2.
Среды систем — у каждой системы есть тестовая и продуктивная среда.
Команды:
разработки систем;
поддержки систем;
DevOps;
управления инфраструктурой и сетью.
Первый вариант реализации системы управления доступом в облаке Advanced
Предлагаемая структура проектов:
Enterprise-проект | IAM-проект | Описание | Пример ресурсов |
---|---|---|---|
default | default | Содержит ресурсы, общие для всех систем, развернутых в облаке. |
|
System1 | System1_test_resources | Содержит ресурсы, входящие в состав тестовой среды системы System1. |
|
System1 | System1_prod_resources | Содержит ресурсы, входящие в состав продуктивной среды системы System1. | |
System2 | System2_test_resources | Содержит ресурсы, входящие в состав тестовой среды системы System2. | |
System2 | System2_prod_resources | Содержит ресурсы, входящие в состав продуктивной среды системы System2. | |
System2 | System2_shared_resources | Содержит ресурсы, общие для всех сред системы System2. При отсутствии подобных ресурсов проект может отсутствовать. |
|
Распределение облачных ресурсов в облаке Advanced по IAM-проектам для первого варианта реализации системы управления доступом:
Предлагаемая матрица доступа:
IAM-проект | Роли | ||||||
---|---|---|---|---|---|---|---|
Cloud admins | System1 developers | System1 support team | System2 developers | System2 support team | DevOps team | Infra and networking team | |
default | Full access | Read-only | Read-only | Read-only | Read-only | Read-only | Limited write |
System1_test_resources | Full access | Full access | Full access | — | — | Limited write | Read network resources |
System1_prod_resources | Full access | Read-only | Limited write | — | — | Limited write | Read network resources |
System2_test_resources | Full access | — | — | Full access | Full access | Limited write | Read network resources |
System2_prod_resources | Full access | — | — | Read-only | Limited write | Limited write | Read network resources |
System2_shared_resources | Full access | — | — | Full access | Full access | Limited write | Read network resources |
Политики доступа:
Full access — полный доступ на создание, чтение, изменение и удаление ресурсов.
Read-only — доступ на чтение ресурсов.
Limited write — доступ на создание, чтение и изменение ресурсов.
Read network resources — доступ на чтение ресурсов, относящимся к виртуальным сетям (VPC, Subnets, Peering, и т.д.).
Второй вариант реализации системы управления доступом в облаке Advanced
Предлагаемая структура проектов:
Enterprise-проект | IAM-проект | Описание | Пример ресурсов |
---|---|---|---|
default | default | Содержит ресурсы, общие для всех систем, развернутых в облаке. |
|
System1-test | System1 | Содержит ресурсы, входящие в состав тестовой среды системы System1. |
|
System1-prod | System1 | Содержит ресурсы, входящие в состав продуктивной среды системы System1. | |
System2-test | System2 | Содержит ресурсы, входящие в состав тестовой среды системы System2. | |
System2-prod | System2 | Содержит ресурсы, входящие в состав продуктивной среды системы System2. | |
System2-shared | System2 | Содержит ресурсы, общие для всех сред системы System2. При отсутствии подобных ресурсов проект может отсутствовать. |
|
Распределение облачных ресурсов в облаке Advanced по IAM-проектам для второго варианта реализации системы управления доступом:
Предлагаемая матрица доступа:
IAM-проект / Enterprise-проект | Роли | ||||||
---|---|---|---|---|---|---|---|
Cloud admins | System1 developers | System1 support team | System2 developers | System2 support team | DevOps team | Infra and networking team | |
System2 / — | Full access | — | — | — | — | Limited write | Read network resources |
System1 / — | Full access | — | — | — | — | Limited write | Read network resources |
default / — | — | Read-only | Read-only | Read-only | Read-only | Read-only | Limited write |
— / System1-test | — | Full access | Full access | — | — | — | — |
— / System1-prod | — | Read-only | Limited write | — | — | — | — |
— / System2-test | — | — | — | Full access | Full access | — | — |
— / System2-prod | — | — | — | Read-only | Limited write | — | — |
— / System2-shared | — | — | — | Full access | Full access | — | — |
Политики доступа:
Full access — полный доступ на создание, чтение, изменение и удаление ресурсов в рамках проекта.
Read-only — доступ на чтение ресурсов.
Limited write — доступ на создание, чтение и изменение ресурсов проекта.
Read network resources — доступ на чтение ресурсов, относящимся к виртуальным сетям (VPC, Subnets, Peering, и т.д.).
Результат использования системы управления доступом в облаке Advanced
Предлагаемые варианты реализации системы управления доступом позволяют изолировать ресурсы различных систем при их миграции в облако Advanced или при их создании. Учитывается необходимость изоляции и предоставления различного уровня доступа к различным средам систем.
Представленные варианты позволяют формировать различные варианты выгрузок по потребленным ресурсам в разрезе облачных систем клиента и их сред.
В зависимости от требований, решение может быть масштабировано на большее количество систем, сред и команд с более гранулярным уровнем контроля доступа.
- Первый вариант реализации системы управления доступом в облаке Advanced
- Второй вариант реализации системы управления доступом в облаке Advanced
- Результат использования системы управления доступом в облаке Advanced