Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Berechtigungen vorbereiten

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die zum Anfordern des Ressourcenzugriffs von Ihren IAM-Administratoren für Organisationen und Projekte erforderlich sind. Wenn Sie Aufgaben auf virtuellen Maschinen (VMs) in Google Distributed Cloud (GDC) ausführen möchten, die nicht mit dem Internet verbunden sind, benötigen Sie die entsprechenden IAM-Rollen und -Berechtigungen.

Diese Seite richtet sich an Entwickler in Gruppen mit der Rolle „Plattformadministrator“ oder „Anwendungsbetreiber“, die VMs in einer GDC-Umgebung erstellen und verwalten. Weitere Informationen finden Sie unter Dokumentation zu Zielgruppen für GDC mit Air Gap.

Hinweise

Wenn Sie gdcloud CLI-Befehle verwenden möchten, führen Sie die erforderlichen Schritte aus den Abschnitten zur gdcloud-Befehlszeile aus. Für alle Befehle für Google Distributed Cloud Air-Gapped wird die CLI gdcloud oder kubectl verwendet und es ist eine Betriebssystemumgebung erforderlich.

Pfad der kubeconfig-Datei abrufen

Damit Sie Befehle für den Management API-Server ausführen können, benötigen Sie die folgenden Ressourcen:

Melden Sie sich an und generieren Sie die kubeconfig-Datei für den Management API-Server, falls Sie noch keine haben.
Verwenden Sie den Pfad zur kubeconfig-Datei des Management API-Servers, um MANAGEMENT_API_SERVER in dieser Anleitung zu ersetzen.

Informationen zu IAM

Distributed Cloud bietet Identity and Access Management (IAM) für detaillierten Zugriff auf bestimmte Distributed Cloud-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und bietet mithilfe von IAM-Rollen und ‑Berechtigungen die Möglichkeit, zu steuern, wer Zugriff auf bestimmte Ressourcen hat.

Lesen Sie die IAM-Dokumentation unter Anmelden. Dort finden Sie eine Anleitung zum Anmelden in der GDC Console oder der gdcloud CLI und zum Verwenden von kubectl für den Zugriff auf Ihre Arbeitslasten.

Vordefinierte Rollen für VM-Ressourcen

Wenn Sie VMs und VM-Laufwerke in einem Projekt erstellen möchten, fordern Sie die entsprechenden Berechtigungen für ein bestimmtes Projekt von Ihrem Projekt-IAM-Administrator an. Alle VM-Rollen müssen an den Namespace des Projekts gebunden sein, in dem sich die VM befindet. Um virtuelle Maschinen zu verwalten, kann Ihr Projekt-IAM-Administrator Ihnen die folgenden vordefinierten Rollen zuweisen:

Project VirtualMachine Admin project-vm-admin: Verwaltet VMs im Projekt-Namespace.
Project VirtualMachine Image Admin project-vm-image-admin: Verwaltet VM-Images im Projekt-Namespace.

Eine Liste aller vordefinierten Rollen für Anwendungsoperatoren (AO) finden Sie unter Rollenbeschreibungen.

Informationen zum Gewähren oder Erhalten des Zugriffs auf VM-Ressourcen finden Sie unter Zugriff auf Projektressourcen gewähren.

Nutzerzugriff auf VM-Ressourcen überprüfen

Melden Sie sich als der Nutzer an, der Berechtigungen anfordert oder bestätigt.
Prüfen Sie, ob Sie oder der Nutzer virtuelle Maschinen erstellen können:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i create virtualmachines.virtualmachine.gdc.goog
```
Ersetzen Sie die Variablen durch die folgenden Definitionen.

Variable Ersetzen

MANAGEMENT_API_SERVER Die kubeconfig-Datei des Systems aus gdcloud auth login.

PROJECT Der Projektname zum Erstellen von VM-Images.
- Wenn die Ausgabe yes lautet, haben Sie die Berechtigung, eine VM im Projekt PROJECT zu erstellen.
- Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und beantragen Sie die Rolle „Project VirtualMachine Admin“ (project-vm-admin) im Namespace des Projekts, in dem sich die VM befindet.
Optional: Prüfen Sie, ob Nutzer Zugriff auf VM-Images auf Projektebene haben. Führen Sie beispielsweise die folgenden Befehle aus, um zu prüfen, ob sie VirtualMachineImage-Ressourcen auf Projektebene erstellen und verwenden können:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i get virtualmachineimages.virtualmachine.gdc.goog
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog
```
Ersetzen Sie die Variablen durch die folgenden Definitionen.

Variable Ersetzen

MANAGEMENT_API_SERVER Die kubeconfig-Datei des Management API-Servers.

PROJECT Der Projektname, in dem VM-Images erstellt werden.
- Wenn die Ausgabe yes ist, hat der Nutzer die Berechtigung, auf benutzerdefinierte VM-Images im Projekt PROJECT zuzugreifen.
- Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und beantragen Sie die Rolle „Project VirtualMachine Image Admin“ (project-vm-image-admin) im Namespace des Projekts, in dem sich die VM befindet.

Variable	Ersetzen
`MANAGEMENT_API_SERVER`	Die kubeconfig-Datei des Systems aus `gdcloud auth login`.
`PROJECT`	Der Projektname zum Erstellen von VM-Images.

Variable	Ersetzen
`MANAGEMENT_API_SERVER`	Die kubeconfig-Datei des Management API-Servers.
`PROJECT`	Der Projektname, in dem VM-Images erstellt werden.

IAM-Berechtigungen vorbereiten Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.