标签：API core infrastructure gcp project 安全 google 资源

最后更新2022/02/02

gcp如果粗略参考着安全相关的内容，可以这么划分边界：

• google负责和管理基础设施安全
• 用户负责自身数据安全
• google为你提供各种最佳实践、模板、产品和解决方案

再进一步说，可以再详细切分一下：
图中黄色部分由google负责，篮色部分由用户负责，这算是个分工界面定义吧，最左侧，全是篮色，那就是传统的方案：用户自己全管，自己建数据中心、采购设备等等。右侧则依次根据用户使用gcp的程度，有不同的分工界面。当然，google不会忘记自我吹捧一下：由于哥的规模太大了，远超你们普通用户自己芝麻绿豆大的数据中心，所以我可以达到最高水准的安全，如果你们自己负担，可能是花不起这个钱的，但哥有的是钱！既要最好，不怕最贵。而且，只要你用了哥的gcp，直接就享受到这最顶级的安全保证，哪怕你只租一粒芝麻大的虚机，这便宜你占大了！

当然，尽管安全，哥也不能啥都帮你做，有些事还得你自己亲历亲为，但哥给你准备好了各种工具，例如IAM（identity access management），可以帮你快速部署并在特定层面实现你的安全要求。

万事安全第一，动手之前先讲安全（授权）

安全与资源分层有关，前面介绍过google的资源分为：

• organize node组织节点，通常来说一个公司就是一个组织节点，它应该覆盖公司的所有资源，如果不考虑对外服务，那么把所有资源封闭在一起，对外面（互联网）不可见也是可能的；
• folders直译是抽屉、打包，对应的可能可以算是一个机构吧，就是能或者需要独立实现某些功能。同时，folder还能层级包容，就是一个floder下面包含几个floder。这样赋予某个floder的（安全）特性，就可以传递给下属folder；
• projects项目，这个有点阶段性、局部性的意味，但应该还是一个完整的功能整体；
• resources资源，这是具体资源了，脱离了相关性，单以IT视角查看，例如vm，storage等等；

有了以上分层，就可以制定安全策略了，指派策略的颗粒度就可以最小为单一resource，最大为organize node，并且可以向下继承。

从计量角度看，GCP的服务以project为单位进行统计，包括：

• 跟踪资源分配和使用情况
• 计费
• 管理必保或预留资源分配
• 提供开启的服务或API

任何用户获得的资源一定属于某个GCP console project，控制资源使用、计费等等都是以project进行划分和统计，每个project可以有不同的所有者及用户（当然相同也没问题）。google提供了多种方案帮助你管理project，甚至可以通过API编程管理，例如：

• 显示归属一个账号下的所有项目
• 创建新项目
• 修改项目
• 删除项目
• 撤销删除、恢复被删除的项目（不知垃圾箱保留多久？）

编程访问方式包括RPC API或者REST API

标签：API,core,infrastructure,gcp,project,安全,google,资源
来源： https://blog.csdn.net/weixin_42051187/article/details/122775056

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。