En este documento, se describen los roles y permisos de Identity and Access Management (IAM) necesarios para solicitar acceso a los recursos del administrador de IAM de tu proyecto. Debes tener los roles y permisos de IAM necesarios para realizar tareas en máquinas virtuales (VMs) en Google Distributed Cloud (GDC) aislado.
Este documento está dirigido a los desarrolladores de grupos de administradores de plataformas o de operadores de aplicaciones que crean y administran VMs en un entorno de GDC. Para obtener más información, consulta Públicos de la documentación de Google Distributed Cloud aislado.
Acerca de IAM
Distributed Cloud ofrece Identity and Access Management (IAM) para brindar acceso detallado a recursos específicos de Distributed Cloud y evitar el acceso no deseado a otros recursos. IAM opera según el principio de seguridad de privilegio mínimo y proporciona control sobre quién tiene permiso para acceder a recursos determinados a través de roles y permisos de IAM.
Antes de comenzar
Para usar los comandos de la CLI de gdcloud, completa los pasos necesarios de las secciones de la interfaz de línea de comandos (CLI) de gdcloud. Todos los comandos para Google Distributed Cloud aislado usan la CLI de gdcloud o kubectl, y requieren un entorno de sistema operativo (SO).
Obtén la ruta de acceso del archivo kubeconfig
Para ejecutar comandos en el servidor de la API de Management, asegúrate de tener los siguientes recursos:
Accede y genera el archivo kubeconfig para el servidor de la API de Management si no tienes uno.
Usa la ruta de acceso al archivo kubeconfig del servidor de la API de Management para reemplazar
MANAGEMENT_API_SERVERen estas instrucciones.
Solicita roles de IAM
Comunícate con el administrador de IAM del proyecto para solicitar los siguientes roles en tu proyecto:
Administrador de máquinas virtuales del proyecto (project-vm-admin): Crea, modifica, enumera y borra VMs en el espacio de nombres del proyecto.
Administrador de imágenes de máquinas virtuales del proyecto (project-vm-image-admin): Crea, borra y muestra imágenes de VM en el espacio de nombres del proyecto.
Todos los roles de VM deben vincularse al espacio de nombres del proyecto en el que reside la VM.
Para obtener una lista de todos los roles predefinidos para los operadores de aplicaciones (AO), consulta Descripciones de roles.
Para otorgar o recibir acceso a los recursos de la VM, consulta Cómo otorgar acceso a los recursos del proyecto.
Verifica el acceso del usuario a los recursos de la VM
Sigue los pasos para acceder a la consola de GDC o a la CLI de gdcloud para verificar el acceso a los recursos y las cargas de trabajo de la VM:
Console
- Accede a la consola de GDC como el usuario que solicita o verifica los permisos.
- Para confirmar que estás en el proyecto correcto, verifica los nombres de la organización y del proyecto en la pantalla principal de la consola de GDC.
- En el menú de navegación, haz clic en Virtual Machines > Instances.
- Para verificar si tienes acceso para crear VMs en el proyecto, haz clic en Crear instancia.
- Si puedes continuar con la creación de la VM, tienes permisos para crear VMs.
- Si el botón Crear instancia no está disponible o recibes un mensaje de error que indica que no tienes permisos, comunícate con el administrador de IAM del proyecto y solicita el rol de administrador de VirtualMachine del proyecto (
project-vm-admin) en el espacio de nombres del proyecto en el que reside la VM.
- Para determinar si puedes ver y crear imágenes, haz clic en Máquinas virtuales > Importar > Crear imagen.
- Si puedes continuar con la importación de imágenes, tienes permiso para crear recursos
VirtualMachineImageImport. - Si las opciones Importar o Crear imagen no están disponibles o si se produce un error de permisos, comunícate con el administrador de IAM del proyecto y solicita el rol de administrador de imágenes de VirtualMachine del proyecto (
project-vm-image-admin) en el espacio de nombres del proyecto en el que reside la VM.
- Si puedes continuar con la importación de imágenes, tienes permiso para crear recursos
CLI
Accede con las credenciales de tu cuenta o las del usuario que solicita o verifica los permisos.
Usa el comando
kubectlpara verificar si tú o el usuario pueden crear máquinas virtuales:kubectl --kubeconfig MANAGEMENT_API_SERVER \ -n PROJECT \ auth can-i create virtualmachines.virtualmachine.gdc.googReemplaza las variables con las siguientes definiciones:
Variable Reemplazo MANAGEMENT_API_SERVEREl archivo kubeconfig del sistema de gdcloud auth login.PROJECTNombre del proyecto en el que crearás imágenes de VM - Si el resultado es
yes, tienes permiso para crear una VM en el proyectoPROJECT. - Si el resultado es
no, significa que no tienes permisos. Comunícate con tu administrador de IAM del proyecto y solicita el rol de administrador de máquinas virtuales del proyecto (project-vm-admin) en el espacio de nombres del proyecto en el que reside la VM.
- Si el resultado es
Verifica si tienes acceso a imágenes de VM a nivel del proyecto. Ejecuta los comandos de
kubectlpara verificar si puedes crear y usar recursos deVirtualMachineImagea nivel del proyecto:kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT \ kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECTReemplaza las variables con las siguientes definiciones.
Variable Reemplazo MANAGEMENT_API_SERVERLa ruta de acceso kubeconfigdel servidor de la API de ManagementPROJECTNombre del proyecto en el que crearás imágenes de VM - Si el resultado es
yes, tienes permisos para acceder a imágenes de VM personalizadas en el proyecto PROJECT. - Si el resultado es
no, significa que no tienes permisos. Comunícate con el administrador de IAM del proyecto y solicita el rol de administrador de imágenes de máquinas virtuales del proyecto (project-vm-image-admin) en el espacio de nombres del proyecto en el que reside la VM.
- Si el resultado es
Próximos pasos
- Administra el acceso a los clústeres estándar
- Crea y después inicia una VM
- Imágenes de VM compatibles