Xizmat egasi qaysi boshqa xizmatlar xizmat bilan bog'lanishi mumkinligini aniq belgilash uchun infratuzilma tomonidan taqdim etilgan kirishni boshqarish xususiyatlaridan foydalanishi mumkin. Masalan, xizmat kiruvchi RPClarni faqat boshqa xizmatlarning ruxsat etilgan ro'yxati bilan cheklashi mumkin. Ushbu xizmat xizmat identifikatorlarining ruxsat etilgan ro'yxati bilan sozlanishi mumkin va infratuzilma ushbu kirish cheklovini avtomatik ravishda amalga oshiradi. Amalga oshirish audit jurnalini yozish, asoslash va bir tomonlama kirishni cheklashni o'z ichiga oladi (masalan, muhandis so'rovlari uchun).
Xizmatlarga kirishga muhtoj bo'lgan Google muhandislariga shaxsiy identifikatorlar ham beriladi. Xizmatlar identifikatorlari asosida ularga kirishga ruxsat berish yoki rad etish uchun sozlanishi mumkin. Ushbu identifikatorlarning barchasi (mashina, xizmat va xodim) infratuzilma qo'llab-quvvatlaydigan global nomlar maydonida.
Ushbu identifikatorlarni boshqarish uchun infratuzilma tasdiqlash zanjirlari, jurnallar va bildirishnomalarni o'z ichiga olgan ish oqimi tizimini taqdim etadi. Masalan, xavfsizlik siyosati ko'p partiyali avtorizatsiyani amalga oshirishi mumkin. Ushbu tizim ikki kishilik qoidadan yakka o'zi ishlaydigan muhandis boshqa vakolatli muhandisning roziligisiz nozik operatsiyalarni bajara olmasligini ta'minlash uchun foydalanadi. Ushbu tizim xavfsiz kirishni boshqarish jarayonlarini infratuzilmada ishlaydigan minglab xizmatlarni qamrab olish imkonini beradi.
Infratuzilma, shuningdek, foydalanuvchi, guruh va a'zolik boshqaruvi uchun kanonik xizmat bilan xizmatlarni taqdim etadi, shunda ular kerak bo'lganda maxsus, nozik kirish nazoratini amalga oshirishlari mumkin.
Yakuniy foydalanuvchi identifikatorlari Google Workspace’dagi oxirgi foydalanuvchi ma’lumotlariga kirishni boshqarish bo‘limida tavsiflanganidek alohida boshqariladi .
Xizmatlararo aloqani shifrlash
Infratuzilma tarmoqdagi RPC ma'lumotlarining maxfiyligi va yaxlitligini ta'minlaydi. Ushbu xavfsizlik afzalliklarini HTTP kabi boshqa amaliy qatlam protokollariga kengaytirish uchun biz RPC infratuzilma mexanizmlari ( gRPC ning variantlari ) ichidagi maʼlumotlarni qamrab olamiz. Inkapsulyatsiya dastur qatlamini izolyatsiya qilishni ta'minlaydi va tarmoq yo'lining xavfsizligiga bog'liqlikni yo'q qiladi. Shifrlangan xizmatlararo aloqa tarmoqqa teginish yoki tarmoq qurilmasi buzilgan taqdirda ham xavfsiz bo'lib qolishi mumkin.
Tarmoq havolalarimizga tegmoqchi bo'lishi mumkin bo'lgan murakkab raqiblardan himoyalanish uchun infratuzilma avtomatik va samarali (apparat yuklash yordamida) RPC infratuzilma trafigini shifrlaydi.
Google Workspace’da oxirgi foydalanuvchi ma’lumotlarini boshqarishga kirish
Oddiy Google Workspace xizmati oxirgi foydalanuvchi uchun biror narsa qilish uchun yozilgan. Masalan, oxirgi foydalanuvchi o'z elektron pochta manzilini Gmail-da saqlashi mumkin. Yakuniy foydalanuvchining Gmail kabi ilova bilan aloqasi infratuzilma ichidagi boshqa xizmatlarni qamrab olishi mumkin. Masalan, Gmail oxirgi foydalanuvchining manzillar kitobiga kirish uchun People API ni chaqirishi mumkin.
Xizmatlararo aloqani shifrlash boʻlimida xizmatni (masalan, Google Contacts) faqat boshqa xizmatdan (masalan, Gmail) RPC soʻrovlariga ruxsat berish uchun qanday sozlash mumkinligi tasvirlangan. Biroq, kirishni boshqarishning ushbu darajasi hali ham ruxsatlarning keng to'plamidir, chunki Gmail istalgan vaqtda istalgan foydalanuvchining kontaktlarini so'rashi mumkin.
Gmail oxirgi foydalanuvchi nomidan Google Contacts-ga RPC so‘rovini yuborsa, infratuzilma Gmail-ga RPC so‘rovida oxirgi foydalanuvchi ruxsatnomasini taqdim etish imkonini beradi. Bu chipta Gmail RPC soʻrovini aynan shu oxirgi foydalanuvchi nomidan berayotganini tasdiqlaydi. Chipta Google Contacts-ga faqat chiptada ko'rsatilgan oxirgi foydalanuvchi ma'lumotlarini qaytarish uchun himoya choralarini qo'llash imkonini beradi.
Infratuzilma ushbu oxirgi foydalanuvchi ruxsatnomalarini chiqaradigan markaziy foydalanuvchi identifikatori xizmatini taqdim etadi. Identifikatsiya xizmati oxirgi foydalanuvchi loginini tekshiradi va keyin foydalanuvchi qurilmasiga cookie yoki OAuth tokeni kabi foydalanuvchi hisob maʼlumotlarini beradi. Qurilmadan bizning infratuzilmamizga keyingi har bir so‘rov oxirgi foydalanuvchi hisob ma’lumotlarini taqdim etishi kerak.
Xizmat oxirgi foydalanuvchi hisob ma'lumotlarini olganida, xizmat tekshirish uchun hisobga olish ma'lumotlarini identifikatsiya xizmatiga uzatadi. Agar oxirgi foydalanuvchi hisob ma'lumotlari tasdiqlangan bo'lsa, identifikatsiya xizmati foydalanuvchi so'rovi bilan bog'liq RPClar uchun ishlatilishi mumkin bo'lgan qisqa muddatli oxirgi foydalanuvchi ruxsatnomasini qaytaradi. Bizning misolimizda oxirgi foydalanuvchi ruxsatnomasini oladigan xizmat Gmail bo'lib, u chiptani Google Contacts-ga uzatadi. Shu vaqtdan boshlab, har qanday kaskadli qo'ng'iroqlar uchun qo'ng'iroq qiluvchi xizmat RPCning bir qismi sifatida oxirgi foydalanuvchi ruxsatnomasini qo'ng'iroq qiluvchiga yuborishi mumkin.
Quyidagi diagrammada A xizmati va B xizmati qanday bog'lanishi ko'rsatilgan. Infratuzilma xizmat identifikatorini, avtomatik o'zaro autentifikatsiyani, shifrlangan xizmatlararo aloqani va xizmat egasi tomonidan belgilangan kirish siyosatini amalga oshirishni ta'minlaydi. Har bir xizmatda xizmat konfiguratsiyasi mavjud bo'lib, uni xizmat egasi yaratadi. Shifrlangan xizmatlararo aloqa uchun avtomatik o'zaro autentifikatsiya qo'ng'iroq qiluvchi va qo'ng'iroq qiluvchining identifikatorlaridan foydalanadi. Aloqa faqat kirish qoidasi konfiguratsiyasi ruxsat bergan taqdirdagina mumkin.
Google Cloud-da kirishni boshqarish haqida ma'lumot olish uchun IAM haqida umumiy ma'lumotga qarang .
