教學目標

學習 Google Cloud Platform 的心得分享,初步了解如何透過 Google Cloud Platform 雲端服務進行企業中使用者帳號同步、認證、授權和資源管理。

重點概念

首先若是企業要導入 Google Cloud Platform 則會考慮整先整合企業內部的 Active Directory,在企業內部的 IT 部門通常會透過 Active Directory 管理使用者帳戶,以及控管應用程式與運算資源的存取權。而當企業需要採用 Google Cloud Platform 雲端平台導入混合雲的基礎架構時,則能夠搭配Google Cloud Directory Sync (GCDS) 免費工具讓 Google 網域中的資料與 Active Directory 或 LDAP 目錄伺服器的資料保持同步,經過同步處理之後,Google Cloud 雲端平台中使用者、群組和共用聯絡人會與企業中的資訊保持一致,更重要的是這項工具完全不會變更 Active Directory 或 LDAP 目錄伺服器中的資料,也不會造成資訊外洩。但是本地端的 Active Directory 跟 Cloud Identity 有相同的使用者帳號,則同步之後 Cloud Identity 的使用者帳號就會被管理者停權,此時手動重新啟用就能夠繼續使用使用者帳號,就算修改使用者名稱或 Email 也沒用,當同步之後,在 Cloud Identity 中有相同的使用者帳號仍然會被停權,此時只能透過排除條件設定忽略 Cloud Identity 中的使用者。

接著當同步完成企業中的 Active Directory 使用者帳號之後,下一步就會需要針對使用者帳號進行認證,因此雖然 Google Cloud Directory Sync (GCDS) 是不需要收費的,但是一定需要購買 Cloud Identity 雲端服務,以利進行使用者帳號的認證。所謂 Cloud Identity 是一款結合身分認證即服務 (IDaaS) 和企業行動管理服務 (EMM) 的產品,Cloud Identity 讓管理員透過 Google 管理控制台管理所有使用者、應用程式與裝置。然而 Cloud Identity 分為免費版和進階版,免費版僅支援 50 個人,如要新增超過 50 位使用者,則必須設定 Cloud Identity 帳單資訊,當我們新增第 51 位使用者時,系統會提示您停止試用,同時所有使用者將進入付費約期。此外 Cloud Indetity 免費版就有支援單一登入、多重驗證和端點管理的機制,其中強制的多重驗證只能夠全開或全關,不能只針對特定使用者開啟,以及「裝置管理」功能中有「強制設定螢幕鎖定或通行碼,確保裝置安全」和「建立許可清單,讓使用者安裝此清單上建議的應用程式」,僅適用於 Android 系統。

再來當完成使用者帳號的認證之後,下一步就會需要針對使用者帳號進行授權,此時我們就能夠透過 Cloud IAM 為 Google Cloud Platform 中資源建立權限。所謂 Cloud IAM 將 Cloud Platform 雲端服務的存取權控制整合納入單一系統,呈現一致的作業組合。而當在採用 Cloud IAM 之前,我們只能授予使用者「擁有者」、「編輯者」或「檢視者」原始角色,不過許多服務和資源如今卻需要新的 Cloud IAM 角色,在Cloud IAM 中主要有三種角色,分別為原始角色、預先定義角色和自訂角色,所謂預先定義的角色是指其實施的存取控管層級比原始角色還要精細的 Cloud IAM 角色,而當預先定義的角色不符合需求時,則我們將能夠透過自訂角色來設置必要的權限。此外當我們設定 Cloud IAM 角色權限時,建議採用最小權限原則,僅會授權使用者帳戶或服務帳戶必要的權限或角色,像是如果已有人負責管理虛擬機器執行個體群組,但並未管理網路或安全性設定,則可將「roles/compute.instanceAdmin」角色授予給包含執行個體的機構、資料夾或專案,或是授予給個別執行個體,所謂「roles/compute.instanceAdmin」角色主要具備建立、修改及刪除虛擬機器執行個體的權限,其中包括建立、修改及刪除磁碟的權限,以及進行受防護的 VM 設定的權限,請注意若是使用者會以服務帳戶執行的虛擬機器執行個體,則還必須為該使用者授予「roles/iam.serviceAccountUser」角色。

最後當我們完成使用者帳號同步、認證和授權之後,企業更能夠透過資源管理針對企業將存取權授予各種雲端資源,尤其是依賴服務層級資源的帳戶層級資源的設定和機構,帳戶層級資源是指與設定和管理 GCP 帳戶有關的資源。並且系統會以階層方式組織 GCP 資源,這樣的階層結構可讓 GCP 與機構經營結構保持一致,能夠讓管理相關資源群組的存取控制及權限,請注意 Cloud Identity 帳戶只會與一個機構相關聯,更進一步Cloud IAM 與機構政策服務皆是透過階層繼承,所以當有了機構資源,專案是屬於您的機構,而不是建立專案的員工,這代表著當員工離開公司時,專案不會被刪除,同時專案將會遵循機構在 Google Cloud Platform 上的生命週期,以及透過機構政策服務以集中方式控管機構的雲端資源,確立防範機制,使開發小組遵循法律規範,協助專案擁有者及其團隊快速發展時,無需擔心違規。

總結我們能夠透過 Google Cloud Platform 雲端服務進行企業中使用者帳號同步、認證、授權和資源管理。

相關資源