VPC + sous-réseaux
VPC GCP est globale par défaut (alors que AWS/Azure sont régionales). Subnets régionaux dedans. Avantage : connectivité simple multi-régions.
Cloud IAM
- Roles : Primitive (Owner/Editor/Viewer — déprécié), Predefined (par service), Custom
- Bindings : qui (user/group/service account) → role → resource
- Service Account : compte d'application non-humain (équivalent AWS IAM Role)
- Workload Identity : meilleure pratique pour GKE pods
Cloud Identity + Google Workspace
Identité unifiée pour tous les services Google. SSO, MFA, Context-Aware Access (équivalent Azure Conditional Access).
