Esta página foi traduzida pela API Cloud Translation.

Preparação das autorizações da IAM

Antes de realizar tarefas em máquinas virtuais (MV) no dispositivo isolado do Google Distributed Cloud (GDC), tem de ter as funções e as autorizações de identidade e acesso (IAM) adequadas.

O dispositivo isolado do GDC oferece gestão de identidade e de acesso (IAM) para acesso detalhado a recursos específicos do dispositivo isolado do GDC e impede o acesso indesejado a outros recursos. A IAM opera com base no princípio de segurança do menor privilégio e oferece controlo sobre quem, ou identidade, tem que autorizações, ou funções, e a que recursos. Tem de ter as funções e as autorizações necessárias atribuídas antes de poder trabalhar com máquinas virtuais (MVs).

Antes de começar

Para usar os comandos da CLI gdcloud, conclua os passos necessários nas secções da interface de linhas de comando (CLI) gdcloud. Todos os comandos para o dispositivo isolado do Google Distributed Cloud usam a CLI gdcloud ou kubectl e requerem um ambiente de sistema operativo (SO).

Obtenha os caminhos dos ficheiros kubeconfig

Execute gdcloud auth login no servidor da API de gestão.
1. Registe o caminho para o ficheiro gerado. Segue-se um exemplo do caminho a gravar:
  /tmp/admin-kubeconfig-with-user-identity.yaml.
2. Use o caminho para substituir MANAGEMENT_API_SERVER nestas instruções.

Acerca do IAM

O dispositivo isolado do GDC oferece gestão de identidade e de acesso (IAM) para acesso detalhado a recursos específicos do dispositivo isolado do GDC e impede o acesso indesejado a outros recursos. O IAM opera com base no princípio de segurança do menor privilégio e oferece controlo sobre quem tem autorização para determinados recursos através de funções e autorizações do IAM.

Leia a documentação do IAM em Iniciar sessão, que fornece instruções para iniciar sessão na consola do GDC ou na CLI gdcloud e usar kubectl para aceder às suas cargas de trabalho.

Funções predefinidas para recursos de VMs

Para criar VMs e discos de VMs num projeto, peça as autorizações adequadas ao administrador do IAM do projeto para um determinado projeto. Para gerir máquinas virtuais, o administrador de IAM do projeto pode atribuir-lhe as seguintes funções predefinidas:

Project VirtualMachine Admin: gere VMs no espaço de nomes do projeto.
Project VirtualMachine Image Admin: gere imagens de VMs no espaço de nomes do projeto.

Para ver uma lista de todas as funções predefinidas para operadores de aplicações (AO), consulte as descrições das funções.

Seguem-se as funções comuns predefinidas para VMs. Para ver detalhes sobre as funções comuns, consulte o artigo Funções comuns.

Visualizador do tipo de VM: tem acesso de leitura a tipos de VMs predefinidos.
Visualizador de imagens públicas: tem acesso de leitura às imagens que o dispositivo isolado do GDC fornece.

Para conceder ou receber acesso a recursos de VMs, consulte o artigo Conceda acesso a recursos do projeto.

Valide o acesso do utilizador aos recursos de VM

Inicie sessão como o utilizador que está a pedir ou a validar autorizações.
Verifique se você ou o utilizador consegue criar máquinas virtuais:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Substitua as variáveis usando as seguintes definições.

Variável Substituição

MANAGEMENT_API_SERVER O caminho kubeconfig do servidor da API Management de gdcloud auth login

PROJECT para criar imagens de VMs

Se o resultado for yes, tem autorizações para criar uma VM no projeto PROJECT.
Se o resultado for no, não tem autorizações. Contacte o administrador do IAM do projeto e peça a atribuição à função de administrador da máquina virtual do projeto (project-vm-admin).
Opcional: verifique se os utilizadores têm acesso a imagens de VMs ao nível do projeto e se podem criar e usar recursos VirtualMachineImage ao nível do projeto:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Substitua as variáveis usando as seguintes definições.

Variável Substituição

MANAGEMENT_API_SERVER O caminho do servidor da API Management kubeconfig

PROJECT O nome do projeto onde as imagens de VMs são criadas
- Se o resultado for yes, o utilizador tem autorizações para aceder a imagens de VMs personalizadas no projeto PROJECT.
- Se o resultado for no, não tem autorizações. Contacte o administrador do IAM do projeto e peça a atribuição à função de administrador de imagens de máquinas virtuais do projeto (project-vm-image-admin).

Variável	Substituição
`MANAGEMENT_API_SERVER`	O caminho `kubeconfig` do servidor da API Management de `gdcloud auth login`
`PROJECT`	para criar imagens de VMs

Variável	Substituição
`MANAGEMENT_API_SERVER`	O caminho do servidor da API Management `kubeconfig`
`PROJECT`	O nome do projeto onde as imagens de VMs são criadas

Preparação das autorizações da IAM Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.