Persiapan izin IAM

Halaman ini menguraikan peran dan izin Identity and Access Management (IAM) yang diperlukan untuk meminta akses resource dari administrator IAM Organisasi dan Project Anda. Untuk melakukan tugas di virtual machine (VM) dalam Google Distributed Cloud (GDC) yang terisolasi, Anda harus memiliki peran dan izin IAM yang sesuai.

Halaman ini ditujukan bagi developer dalam grup administrator platform atau operator aplikasi yang membuat dan mengelola VM di lingkungan GDC. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Audiens untuk GDC yang terisolasi dari internet.

Sebelum memulai

Untuk menggunakan perintah gdcloud CLI, selesaikan langkah-langkah yang diperlukan dari bagian antarmuka command line (CLI) gdcloud. Semua perintah untuk penggunaan air-gapped Google Distributed Cloud menggunakan CLI gdcloud atau kubectl, dan memerlukan lingkungan sistem operasi (OS).

Mendapatkan jalur file kubeconfig

Untuk menjalankan perintah terhadap server Management API, pastikan Anda memiliki resource berikut:

  1. Login dan buat file kubeconfig untuk server Management API jika Anda belum memilikinya.

  2. Gunakan jalur ke file kubeconfig server Management API untuk menggantikan MANAGEMENT_API_SERVER dalam petunjuk ini.

Tentang IAM

Distributed Cloud menawarkan Identity and Access Management (IAM) untuk akses terperinci ke resource Distributed Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM beroperasi berdasarkan prinsip keamanan hak istimewa terendah dan memberikan kontrol atas siapa yang memiliki izin untuk mengakses resource tertentu menggunakan peran dan izin IAM.

Baca dokumentasi IAM di bagian Login, yang memberikan petunjuk untuk login ke konsol GDC atau gdcloud CLI dan menggunakan kubectl untuk mengakses beban kerja Anda.

Peran bawaan untuk resource VM

Untuk membuat VM dan disk VM dalam project, minta izin yang sesuai dari Admin IAM Project Anda untuk project tertentu. Semua peran VM harus terikat ke namespace project tempat VM berada. Untuk mengelola virtual machine, Admin IAM Project Anda dapat memberi Anda peran bawaan berikut:

  • Project VirtualMachine Admin project-vm-admin: Mengelola VM di namespace project.
  • Project VirtualMachine Image Admin project-vm-image-admin: Mengelola image VM di namespace project.

Untuk mengetahui daftar semua peran bawaan untuk Operator Aplikasi (AO), lihat Deskripsi peran.

Untuk memberikan atau menerima akses ke resource VM, lihat Memberikan akses ke resource project.

Memverifikasi akses pengguna ke resource VM

  1. Login sebagai pengguna yang meminta atau memverifikasi izin.

  2. Verifikasi apakah Anda, atau pengguna, dapat membuat mesin virtual:

    kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i create virtualmachines.virtualmachine.gdc.goog

    Ganti variabel menggunakan definisi berikut.

    Variabel Penggantian
    MANAGEMENT_API_SERVER File kubeconfig sistem dari gdcloud auth login.
    PROJECT Nama project untuk membuat image VM.
    • Jika outputnya adalah yes, Anda memiliki izin untuk membuat VM di project PROJECT.
    • Jika outputnya adalah no, berarti Anda tidak memiliki izin. Hubungi Admin IAM Project Anda dan minta peran Project VirtualMachine Admin (project-vm-admin) di namespace project tempat VM berada.

  3. Opsional: Verifikasi apakah pengguna memiliki akses ke image VM tingkat project. Misalnya, jalankan perintah berikut untuk memverifikasi apakah mereka dapat membuat dan menggunakan resource VirtualMachineImage di tingkat project:

    kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i get virtualmachineimages.virtualmachine.gdc.goog

    kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog

    Ganti variabel menggunakan definisi berikut.

    Variabel Penggantian
    MANAGEMENT_API_SERVER File kubeconfig server Management API.
    PROJECT Nama project tempat image VM dibuat.
    • Jika outputnya adalah yes, pengguna memiliki izin untuk mengakses image VM kustom di project PROJECT.
    • Jika outputnya adalah no, berarti Anda tidak memiliki izin. Hubungi peran Project IAM Admin Anda dan minta peran Project VirtualMachine Image Admin (project-vm-image-admin) di namespace project tempat VM berada.