Preparazione delle autorizzazioni IAM

Questo documento descrive i ruoli e le autorizzazioni IAM (Identity and Access Management) necessari per richiedere l'accesso alle risorse all'amministratore IAM del progetto. Devi disporre dei ruoli e delle autorizzazioni IAM necessari per eseguire attività sulle macchine virtuali (VM) in Google Distributed Cloud (GDC) air-gapped.

Questo documento è destinato agli sviluppatori dei gruppi di amministratori della piattaforma o operatori di applicazioni che creano e gestiscono VM in un ambiente GDC. Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.

Informazioni su IAM

Distributed Cloud offre Identity and Access Management (IAM) per un accesso granulare a risorse Distributed Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM si basa sul principio di sicurezza del privilegio minimo e fornisce il controllo su chi ha l'autorizzazione per determinate risorse utilizzando ruoli e autorizzazioni IAM.

Prima di iniziare

Per utilizzare i comandi gcloud CLI, completa i passaggi richiesti nelle sezioni Interfaccia a riga di comando (CLI) gcloud. Tutti i comandi per Google Distributed Cloud con air gap utilizzano la CLI gdcloud o kubectl e richiedono un ambiente del sistema operativo (OS).

Recupera il percorso del file kubeconfig

Per eseguire comandi sul server dell'API di gestione, assicurati di disporre delle seguenti risorse:

  1. Accedi e genera il file kubeconfig per il server API di gestione se non ne hai uno.

  2. Utilizza il percorso del file kubeconfig del server API di gestione per sostituire MANAGEMENT_API_SERVER in queste istruzioni.

Richiedere ruoli IAM

Contatta l'amministratore IAM del progetto per richiedere i seguenti ruoli per il tuo progetto:

  • Project VirtualMachine Admin (project-vm-admin): crea, modifica, elenca ed elimina le VM nello spazio dei nomi del progetto.

  • Project VirtualMachine Image Admin (project-vm-image-admin): crea, elenca ed elimina le immagini VM nello spazio dei nomi del progetto.

Tutti i ruoli VM devono essere associati allo spazio dei nomi del progetto in cui si trova la VM.

Per un elenco di tutti i ruoli predefiniti per gli operatori delle applicazioni (AO), consulta Descrizioni dei ruoli.

Per concedere o ricevere l'accesso alle risorse VM, consulta Concedere l'accesso alle risorse del progetto.

Verificare l'accesso degli utenti alle risorse VM

Segui i passaggi per accedere alla console GDC o a gcloud CLI per verificare l'accesso alle risorse VM e ai carichi di lavoro:

Console

  1. Accedi alla console GDC come utente che richiede o verifica le autorizzazioni.
  2. Verifica di trovarti nel progetto corretto controllando i nomi dell'organizzazione e del progetto nella schermata Home della console GDC.
  3. Nel menu di navigazione, fai clic su Virtual Machines > Instances.
  4. Per verificare se hai accesso alla creazione di VM nel progetto, fai clic su Crea istanza.
    • Se riesci a procedere con la creazione della VM, hai le autorizzazioni per creare VM.
    • Se il pulsante Crea istanza non è disponibile o viene visualizzato un messaggio di errore che indica una mancanza di autorizzazioni, contatta l'amministratore IAM del progetto e richiedi il ruolo Amministratore VirtualMachine del progetto (project-vm-admin) nello spazio dei nomi del progetto in cui si trova la VM.
  5. Per determinare se puoi visualizzare e creare immagini, fai clic su Virtual Machines > Importa > Crea immagine.
    • Se puoi procedere con l'importazione dell'immagine, disponi delle autorizzazioni per creare risorse VirtualMachineImageImport.
    • Se le opzioni Importa o Crea immagine non sono disponibili o si verifica un errore di autorizzazione, contatta l'amministratore IAM del progetto e richiedi il ruolo Amministratore immagini VirtualMachine del progetto (project-vm-image-admin) nello spazio dei nomi del progetto in cui si trova la VM.

Interfaccia a riga di comando

  1. Accedi con le credenziali del tuo account o con quelle dell'utente che richiede o verifica le autorizzazioni.

  2. Utilizza il comando kubectl per verificare se tu o l'utente potete creare macchine virtuali:

    kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i create virtualmachines.virtualmachine.gdc.goog

    Sostituisci le variabili utilizzando le seguenti definizioni:

    Variabile Sostituzione
    MANAGEMENT_API_SERVER Il file kubeconfig di sistema da gdcloud auth login.
    PROJECT Il nome del progetto in cui creare le immagini VM
    • Se l'output è yes, hai le autorizzazioni per creare una VM nel progetto PROJECT.
    • Se l'output è no, non disponi delle autorizzazioni. Contatta l'amministratore IAM del progetto e richiedi il ruolo Project VirtualMachine Admin (project-vm-admin) nello spazio dei nomi del progetto in cui si trova la VM.

  3. Verifica se hai accesso alle immagini VM a livello di progetto. Esegui i comandi kubectl per verificare se puoi creare e utilizzare risorse VirtualMachineImage a livello di progetto:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT \
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT

    Sostituisci le variabili utilizzando le seguenti definizioni.

    Variabile Sostituzione
    MANAGEMENT_API_SERVER Il percorso kubeconfig del server API di gestione
    PROJECT Il nome del progetto in cui creare le immagini VM
    • Se l'output è yes, hai le autorizzazioni per accedere alle immagini VM personalizzate nel progetto PROJECT.
    • Se l'output è no, non disponi delle autorizzazioni. Contatta l'amministratore IAM del progetto e richiedi il ruolo Amministratore immagini VM del progetto (project-vm-image-admin) nello spazio dei nomi del progetto in cui si trova la VM.

Passaggi successivi