IAM-Berechtigungen vorbereiten

In diesem Dokument werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die erforderlich sind, um Zugriff auf Ressourcen von Ihrem Projekt-IAM-Administrator anzufordern. Sie benötigen die erforderlichen IAM-Rollen und -Berechtigungen, um Aufgaben auf virtuellen Maschinen (VMs) in der Air-Gap-Appliance von Google Distributed Cloud (GDC) auszuführen.

Dieses Dokument richtet sich an Entwickler in Gruppen von Plattformadministratoren oder Anwendungsoperatoren, die VMs in einer GDC-Umgebung erstellen und verwalten.

Informationen zu IAM

Die GDC-Appliance ohne Internetverbindung bietet Identity and Access Management (IAM) für detaillierten Zugriff auf bestimmte Ressourcen der GDC-Appliance ohne Internetverbindung und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und bietet mithilfe von IAM-Rollen und -Berechtigungen die Möglichkeit, zu steuern, wer Zugriff auf bestimmte Ressourcen hat.

Hinweis

Wenn Sie gdcloud CLI-Befehle verwenden möchten, führen Sie die erforderlichen Schritte aus den Abschnitten zur gdcloud-Befehlszeile aus. Für alle Befehle für die Google Distributed Cloud mit Air Gap Appliance wird die CLI gdcloud oder kubectl verwendet und es ist eine Betriebssystemumgebung (OS) erforderlich.

kubeconfig-Dateipfade abrufen

  1. Führen Sie gdcloud auth login für den Management API-Server aus.

    1. Notieren Sie sich den Pfad zur generierten Datei. Hier ein Beispiel für den Pfad zum Datensatz:
      /tmp/admin-kubeconfig-with-user-identity.yaml.

    2. Verwenden Sie den Pfad, um MANAGEMENT_API_SERVER in dieser Anleitung zu ersetzen.

IAM-Rollen anfordern

Wenden Sie sich an den IAM-Administrator Ihres Projekts, um die folgenden Rollen für Ihr Projekt anzufordern:

  • Project VirtualMachine Admin (project-vm-admin): VMs im Projekt-Namespace erstellen, ändern, auflisten und löschen.

  • Project VirtualMachine Image Admin (project-vm-image-admin): VM-Images im Projekt-Namespace erstellen, auflisten und löschen.

Alle VM-Rollen müssen an den Namespace des Projekts gebunden sein, in dem sich die VM befindet.

Eine Liste aller vordefinierten Rollen für Anwendungsoperatoren (AO) finden Sie unter Rollenbeschreibungen.

Informationen zum Gewähren oder Erhalten des Zugriffs auf VM-Ressourcen finden Sie unter Zugriff auf Projektressourcen gewähren.

Nutzerzugriff auf VM-Ressourcen überprüfen

Führen Sie die Schritte zum Anmelden in der GDC Console oder der gdcloud CLI aus, um den Zugriff auf VM-Ressourcen und ‑Arbeitslasten zu bestätigen:

Console

  1. Melden Sie sich in der GDC Console als der Nutzer an, der Berechtigungen anfordert oder bestätigt.
  2. Prüfen Sie auf dem GDC Console-Startbildschirm, ob Sie sich im richtigen Projekt befinden. Achten Sie dazu auf die Namen der Organisation und des Projekts.
  3. Klicken Sie im Navigationsmenü auf Virtual Machines > Instances (Virtuelle Maschinen > Instanzen).
  4. Wenn Sie prüfen möchten, ob Sie Zugriff zum Erstellen von VMs im Projekt haben, klicken Sie auf Instanz erstellen.
    • Wenn Sie mit der VM-Erstellung fortfahren können, haben Sie die Berechtigungen zum Erstellen von VMs.
    • Wenn die Schaltfläche Instanz erstellen nicht verfügbar ist oder Sie eine Fehlermeldung erhalten, die auf fehlende Berechtigungen hinweist, wenden Sie sich an Ihren Projekt-IAM-Administrator und fordern Sie die Rolle „Project VirtualMachine Admin“ (project-vm-admin) im Namespace des Projekts an, in dem sich die VM befindet.
  5. Wenn Sie prüfen möchten, ob Sie Bilder ansehen und erstellen können, klicken Sie auf Virtuelle Maschinen > Importieren > Bild erstellen.
    • Wenn Sie mit dem Import von Bildern fortfahren können, haben Sie die Berechtigung zum Erstellen von VirtualMachineImageImport-Ressourcen.
    • Wenn die Optionen Importieren oder Image erstellen nicht verfügbar sind oder ein Berechtigungsfehler auftritt, wenden Sie sich an Ihren Projekt-IAM-Administrator und fordern Sie die Rolle „VirtualMachine Image Admin“ (project-vm-image-admin) im Namespace des Projekts an, in dem sich die VM befindet.

Befehlszeile

  1. Melden Sie sich als der Nutzer an, der Berechtigungen anfordert oder bestätigt.

  2. Prüfen Sie, ob Sie oder der Nutzer virtuelle Maschinen erstellen können:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT

    Ersetzen Sie die Variablen durch die folgenden Definitionen:

    Variable Ersetzen
    MANAGEMENT_API_SERVER Der kubeconfig-Pfad des Management API-Servers
    PROJECT Der Projektname, unter dem Sie VM-Images erstellen
    • Wenn die Ausgabe yes lautet, haben Sie die Berechtigung, eine VM im Projekt PROJECT zu erstellen.
    • Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und beantragen Sie die Rolle „Project VirtualMachine Admin“ (project-vm-admin) im Namespace des Projekts, in dem sich die VM befindet.

  3. Prüfen Sie, ob Sie Zugriff auf VM-Images auf Projektebene haben. Führen Sie die kubectl-Befehle aus, um zu prüfen, ob Sie VirtualMachineImage-Ressourcen auf Projektebene erstellen und verwenden können:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT \
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT

    Ersetzen Sie die Variablen durch die folgenden Definitionen.

    Variable Ersetzen
    MANAGEMENT_API_SERVER Der kubeconfig-Pfad des Management API-Servers
    PROJECT Der Projektname, unter dem Sie VM-Images erstellen
    • Wenn die Ausgabe yes ist, hat der Nutzer die Berechtigung, auf benutzerdefinierte VM-Images im Projekt PROJECT zuzugreifen.
    • Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren IAM-Administrator für das Projekt und fordern Sie die Rolle „Project VirtualMachine Image Admin“ (project-vm-image-admin) im Namespace des Projekts an, in dem sich die VM befindet.

Nächste Schritte