יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יסודות האימות

כדי להשתמש בממשקי API ובשירותים של Cloud de Confiance by S3NS , צריך להוכיח שאתם מי שאתם אומרים שאתם. התהליך הזה של הוכחת הזהות נקרא אימות.

כדי לבצע אימות ב- Cloud de Confiance by S3NS, צריך לספק פרטי כניסה כהוכחה לזהות. לדוגמה, כדי להשתמש בשירות מסוים, יכול להיות שתצטרכו לבצע אימות באמצעות פרטי כניסה כמו סיסמה וקוד חד-פעמי.

‫Cloud de Confiance by S3NS מתייחס למשתמשים מאומתים כאל גורמים ראשיים. כשמנסים לגשת למשאב כמו Cloud de Confiance by S3NS פרויקט או קטגוריית אחסון, Cloud de Confiance by S3NSנבדקת רמת הגישה של חשבון המשתמש למשאב המבוקש. התהליך הזה נקרא הרשאה, והוא מתבצע על ידי מערכת שנקראת ניהול זהויות והרשאות גישה (IAM).

אותם מושגים חלים על קוד שמבצע משימות אוטומטיות בשמכם, שנקראות עומסי עבודה. עומס עבודה צריך לספק פרטי כניסה כדי להוכיח את הזהות שלו ולאמת את עצמו כחשבון ראשי. לאחר מכן, Cloud de Confiance by S3NS יכול לקבוע איזו רמת גישה יש לעומס העבודה למשאבים שהוא ביקש.

סוגים של חשבונות משתמשים

יש סוגים שונים של חשבונות משתמשים שאפשר לבצע אימות בתורם. יכול להיות שתשתמשו בסוגים שונים של ישויות בשלבים שונים של משימה, או בסביבות פיתוח שונות.

סוגי החשבונות העיקריים ופרטי הכניסה שנדרשים לאימות כוללים את האפשרויות הבאות:

חשבונות שירות: אלה חשבונות ספציפיים ל- Cloud de Confiance by S3NS שעומסי עבודה יכולים להשתמש בהם כדי לגשת לשירותים או למשאבים. בדרך כלל לא מבצעים אימות ישירות כחשבון שירות. במקום זאת, אתם יכולים לצרף חשבון שירות למשאב כמו מכונה וירטואלית ב-Compute Engine, או להשתמש בהתחזות לחשבון שירות.
חשבונות ראשיים מאוחדים: אלה זהויות שמפנות לחשבונות משתמשים או לחשבונות שירות בספק זהויות חיצוני. יש שני סוגים של ישויות מאוחדות שנתמכות על ידי Cloud de Confiance by S3NS, עם שמות דומים:
- איחוד שירותי אימות הזהות של כוח עבודה: מאפשר למשתמשים אנושיים להיכנס ל- Cloud de Confiance by S3NS באמצעות זהויות שמנוהלות על ידי ספק זהויות חיצוני. אם בארגון שלכם כבר מוגדרת כניסה יחידה (SSO), יכול להיות שתשתמשו בסוג הזה של זהות כדי לבצע אימות ל- Cloud de Confiance by S3NS.
  
  כדי להשתמש באיחוד שירותי אימות הזהות של כוח העבודה, ספק הזהויות שלכם צריך לתמוך ב-OpenID Connect ‏ (OIDC) או ב- SAML 2.0.
- איחוד שירותי אימות הזהות של עומסי עבודה: מאפשר לעומסי עבודה שפועלים מחוץ ל- Cloud de Confiance by S3NS לפעול במשאבי Cloud de Confiance by S3NS .
  
  אתם יכולים להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה עם עומסי עבודה שעוברים אימות באמצעות אישורי לקוח X.509, שפועלים ב- Amazon Web Services ‏ (AWS) או ב-Azure, ב- Active Directory מקומי, בשירותי פריסה כמו GitHub ו-GitLab, ועם כל ספק זהויות שתומך ב- OpenID Connect ‏ (OIDC) או ב-Security Assertion Markup Language ‏ (SAML) גרסה 2.0.

מידע נוסף על סוגי החשבונות הנתמכים האלה ואחרים ב- Cloud de Confiance by S3NSזמין במאמר סוגי חשבונות משתמש.

הגדרת אימות בארגון Cloud de Confiance by S3NS

כשמגדירים אימות לארגון Cloud de Confiance by S3NS , יכול להיות שתצטרכו לשלב מערכות ותהליכי עבודה קיימים ב: Cloud de Confiance by S3NS

אם יש לכם ספק זהויות קיים שבו אתם רוצים להשתמש, אתם צריכים להגדיר איחוד שירותי אימות הזהות של כוח העבודה.
אם יש לכם עומסי עבודה שפועלים מחוץ ל- Cloud de Confiance by S3NS ושזקוקים לגישה למשאבים שלCloud de Confiance by S3NS , אתם צריכים להגדיר איחוד זהויות של עומסי עבודה.

כדי לאבטח את הסביבה שלכם, מומלץ גם: Cloud de Confiance by S3NS

מוודאים שהאימות הרב-שלבי מופעל אצל המשתמשים.
בודקים אם צריך לשנות את הגדרות האימות מחדש.
יצירת כללי מדיניות לניהול מפתחות API.
יצירת כללי מדיניות לניהול מפתחות של חשבונות שירות.

אימות של בני אדם ועומסי עבודה

האופן שבו מבצעים אימות ב- Cloud de Confiance by S3NS משתנה בהתאם לממשקי ה-API ולשירותים שבהם אתם משתמשים, ולאופן האינטראקציה שלכם עם ממשקי ה-API והשירותים האלה.

אימות של בני אדם

כשמבצעים עבודה ידנית ואינטראקטיבית, כמו משימות אדמיניסטרטיביות אקראיות, הגדרת משאבים, שינוי הגדרות, ניסויים ועיון ביומנים, משתמשים בפרטי הכניסה של חשבון המשתמש כדי לבצע אימות.

המסוף

כדי לעבוד באופן אינטראקטיבי במסוף Cloud de Confiance , צריך לבצע אימות על ידי כניסה לממשק האינטרנט עם פרטי המשתמש.

כניסה ל Cloud de Confiance מסוף

אותם פרטי כניסה של סשן המסוף משמשים גם ל-Cloud Shell, שדרכו אפשר לגשת ל-ה-CLI של gcloud. Cloud de Confiance

gcloud

אחרי התקנת ה-CLI של gcloud במכשיר המקומי, אפשר להשתמש בפרטי הכניסה של המשתמש כדי לבצע אימות ל- Cloud de Confiance by S3NS על ידי הפעלת הפקודה הבאה במסוף:

gcloud auth login

אחרי האימות, פקודות gcloud הבאות משתמשות בזהות המחוברת כדי לשלוח את הבקשות שלהן.

הוראות לאימות באמצעות פרטי כניסה של איחוד שירותי אימות הזהות של כוח עבודה, פרטי כניסה של איחוד זהויות של עומסי עבודה או מפתחות של חשבון שירות מופיעות במאמר אימות ל-ה-CLI של gcloud.

אימות של עומסי עבודה

בין אם אתם מפתחים ומריצים קוד במכשיר המקומי, ב-Cloud de Confiance by S3NS, במערכות המקומיות בארגון או בענן אחר, הדרך הכי גמישה וניידת לאימות עומס העבודה היא לספק פרטי כניסה באמצעות מנגנון שנקרא Application Default Credentials ‏ (ADC).

ספריות שמטמיעות ADC (כמו ספריות הלקוח שלCloud de Confiance by S3NS ) בודקות מיקומים מוכרים בסביבה שבה הן פועלות כדי למצוא פרטי כניסה. המשמעות היא שאם משנים את המקום שבו הקוד פועל, לא צריך לשנות את הקוד עצמו – רק את פרטי הכניסה שמשמשים בסביבה הזו.

לדוגמה, כשמפתחים באופן מקומי, אפשר להגדיר את הסביבה כך שמערכת ADC תשתמש בפרטי הכניסה של המשתמש לצורך אימות. כשהקוד מוכן לייצור, אפשר לפרוס אותו ללא שינוי במכונת VM של Compute Engine, ולהגדיר את הסביבה כך שתשתמש בפרטי כניסה לטווח קצר של חשבון שירות לצורך אימות.

אי אפשר להשתמש ב-ADC כדי לבצע אימות בתרחישים הבאים:

כשמבצעים אימות של ה-CLI של gcloud.
כשמשתמשים במפתח API. אפשר להשתמש במפתחות API רק עם ממשקי API ספציפיים.

במאמר הגדרת Application Default Credentials מוסבר איך להגדיר ADC לסביבות ספציפיות.

המאמרים הבאים

מידע נוסף על שיטות האימות השונות ב- Cloud de Confiance by S3NS
כדי להבין איך שולטים בגישה של גורם מרכזי ב- Cloud de Confiance by S3NS, אפשר לעיין במאמר הרשאה ובקרת גישה.