Esta página se ha traducido con Cloud Translation API.

Preparación de permisos de gestión de identidades y accesos

En esta página se describen los roles y permisos de Gestión de Identidades y Accesos (IAM) necesarios para solicitar acceso a los recursos a los administradores de IAM de tu organización y proyecto. Para realizar tareas en máquinas virtuales (VMs) en Google Distributed Cloud (GDC) con aislamiento físico, debes tener los roles y permisos de IAM adecuados.

Esta página está dirigida a desarrolladores de grupos de administradores de plataformas u operadores de aplicaciones que crean y gestionan máquinas virtuales en un entorno de GDC. Para obtener más información, consulta Audiencias de la documentación de GDC air-gapped.

Antes de empezar

Para usar los comandos de la CLI de gdcloud, completa los pasos necesarios de las secciones sobre la interfaz de línea de comandos (CLI) de gdcloud. Todos los comandos de Google Distributed Cloud con air gap usan la CLI gdcloud o kubectl y requieren un entorno de sistema operativo (SO).

Obtener la ruta del archivo kubeconfig

Para ejecutar comandos en el servidor de la API Management, asegúrate de tener los siguientes recursos:

Inicia sesión y genera el archivo kubeconfig del servidor de la API Management si no tienes uno.
Usa la ruta al archivo kubeconfig del servidor de la API Management para sustituir MANAGEMENT_API_SERVER en estas instrucciones.

Acerca de IAM

Distributed Cloud ofrece Gestión de Identidades y Accesos (IAM) para permitir el acceso granular a recursos específicos de Distributed Cloud y evitar el acceso no deseado a otros recursos. IAM se basa en el principio de seguridad del privilegio mínimo y proporciona control sobre quién tiene permiso para acceder a determinados recursos mediante roles y permisos de IAM.

Consulta la documentación de gestión de identidades y accesos en Iniciar sesión, donde se proporcionan instrucciones para iniciar sesión en la consola de GDC o en la CLI de gdcloud y usar kubectl para acceder a tus cargas de trabajo.

Roles predefinidos para recursos de máquinas virtuales

Para crear máquinas virtuales y discos de máquinas virtuales en un proyecto, solicita los permisos adecuados al administrador de IAM del proyecto en cuestión. Todos los roles de VM deben enlazarse al espacio de nombres del proyecto en el que reside la VM. Para gestionar máquinas virtuales, el administrador de gestión de identidades y accesos de tu proyecto puede asignarte los siguientes roles predefinidos:

Administrador de máquinas virtuales de proyecto project-vm-admin: gestiona las VMs en el espacio de nombres del proyecto.
Administrador de imágenes de máquina virtual de proyecto project-vm-image-admin: gestiona imágenes de máquina virtual en el espacio de nombres del proyecto.

Para ver una lista de todos los roles predefinidos de los operadores de aplicaciones, consulta las descripciones de los roles.

Para conceder o recibir acceso a recursos de máquinas virtuales, consulta Conceder acceso a recursos de proyectos.

Verificar el acceso de los usuarios a los recursos de la VM

Inicia sesión como el usuario que solicita o verifica los permisos.
Comprueba si tú o el usuario podéis crear máquinas virtuales:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i create virtualmachines.virtualmachine.gdc.goog
```
Sustituye las variables con las siguientes definiciones.

Variable Sustitución

MANAGEMENT_API_SERVER El archivo kubeconfig del sistema de gdcloud auth login.

PROJECT Nombre del proyecto para crear imágenes de VM.
- Si el resultado es yes, tienes permiso para crear una VM en el proyecto PROJECT.
- Si el resultado es no, significa que no tienes permisos. Ponte en contacto con tu administrador de IAM de proyectos y solicita el rol Administrador de VirtualMachine de proyectos (project-vm-admin) en el espacio de nombres del proyecto en el que reside la VM.
Opcional: Verifica si los usuarios tienen acceso a las imágenes de VM a nivel de proyecto. Por ejemplo, ejecuta los siguientes comandos para comprobar si pueden crear y usar recursos de VirtualMachineImage a nivel de proyecto:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i get virtualmachineimages.virtualmachine.gdc.goog
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog
```
Sustituye las variables con las siguientes definiciones.

Variable Sustitución

MANAGEMENT_API_SERVER El archivo kubeconfig del servidor de la API Management.

PROJECT Nombre del proyecto en el que se crean las imágenes de VM.
- Si el resultado es yes, el usuario tiene permisos para acceder a imágenes de VM personalizadas en el proyecto PROJECT.
- Si el resultado es no, significa que no tienes permisos. Ponte en contacto con tu administrador de IAM de proyectos y solicita el rol Administrador de imágenes de máquinas virtuales de proyectos (project-vm-image-admin) en el espacio de nombres del proyecto en el que se encuentra la máquina virtual.

Variable	Sustitución
`MANAGEMENT_API_SERVER`	El archivo kubeconfig del sistema de `gdcloud auth login`.
`PROJECT`	Nombre del proyecto para crear imágenes de VM.

Variable	Sustitución
`MANAGEMENT_API_SERVER`	El archivo kubeconfig del servidor de la API Management.
`PROJECT`	Nombre del proyecto en el que se crean las imágenes de VM.

Preparación de permisos de gestión de identidades y accesos Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.