Table of contents
Trong bài này, chúng ta sẽ tìm hiểu sâu hơn về nhận dạng và quản lý quyền truy cập bằng tài khoản dịch vụ (service account) và Cloud Identity. Nếu bạn chưa biết nhận dạng và quản lý quyền truy cập là gì thì có thể đọc lại bài 7 tại đây nhé.
Tài khoản dịch vụ
Bạn có thể cấp quyền cho người dùng bằng IAM nhưng nếu như bạn không muốn cấp quyền cho người dùng mà chỉ muốn cấp quyền cho tài nguyên thì sao? Ví dụ như cấp quyền cho máy ảo trong Compute Engine. Đó là lúc tài khoản dịch vụ, service account phát huy tác dụng.
Giả sử dụng bạn có một ứng dụng chạy trong máy ảo cần lưu trữ dữ liệu trong Cloud Storage nhưng bạn không muốn ai truy cập vào dữ liệu đó, tức là chỉ có máy ảo mới có quyền này. Bạn có thể tạo tài khoản dịch vụ để xác thực (authentication) máy ảo đó với Cloud Storage.
Các tài khoản dịch vụ được đặt tên bằng email nhưng thay vì sử dụng mật khẩu thì chúng sử dụng các khóa (key) mật mã để truy cập tài nguyên. Vậy nên, nếu một tài khoản dịch vụ được cấp role Intance Admin của Compute Engine, thì tài khoản đó có thể tạo, chỉnh sửa, và xóa các VM khác.
Các tài khoản này cũng là tài nguyên (resources) nên bạn có thể quản lý chúng thông qua IAM và cấp role cho người dùng.
Cloud Identity
Nhiều người dùng Google Cloud thường sẽ đăng nhập vào Google Cloud Console bằng tài khoản Gmail, sau đó sử dụng Google Groups để cộng tác với những người đồng đội có vị trí tương tự. Mặc dù cách tiếp cận này dễ thực hiện nhưng bạn không thể quản lý tập trung danh tính của nhóm. Đó sẽ là vấn đề vì nếu ai đó rời khỏi nhóm thì bạn không thể xoá quyền truy cập vào tài nguyên của nhóm nhanh chóng với thiết lập này được.
Bạn có thể sử dụng Cloud Identity, để xác định chính sách cũng như quản lý người dùng và nhóm của mình bằng Google Admin Console. Người dùng (có thể là admin) có thể đăng nhập và quản lý tài nguyên Google Cloud bằng username và password họ sử dụng trong hệ thống Active Directory hoặc LDAP.
Khi sử dụng Cloud Identity, bạn có thể dùng Google Admin Console để vô hiệu hoá tài khoản và xoá người dùng khỏi Groups khi người đó rời khỏi nhóm.
Và đó là tất cả về Tài khoản dịch vụ và Cloud Identity trong Google Cloud.