Esta página foi traduzida pela API Cloud Translation.

Preparação das autorizações da IAM

Esta página descreve as funções e as autorizações da gestão de identidade e de acesso (IAM) necessárias para pedir acesso a recursos aos administradores da IAM da sua organização e projeto. Para realizar tarefas em máquinas virtuais (VMs) no Google Distributed Cloud (GDC) isolado, tem de ter as funções e as autorizações de IAM adequadas.

Esta página destina-se a programadores nos grupos de administrador da plataforma ou operador da aplicação que criam e gerem VMs num ambiente do GDC. Para mais informações, consulte o artigo Públicos-alvo para a documentação isolada do GDC.

Antes de começar

Para usar os comandos da CLI gdcloud, conclua os passos necessários das secções interface de linhas de comando (CLI) gdcloud. Todos os comandos para a utilização isolada do Google Distributed Cloud usam a CLI gdcloud ou kubectl e requerem um ambiente de sistema operativo (SO).

Obtenha o caminho do ficheiro kubeconfig

Para executar comandos no servidor da API Management, certifique-se de que tem os seguintes recursos:

Inicie sessão e gere o ficheiro kubeconfig para o servidor da API Management, se não tiver um.
Use o caminho para o ficheiro kubeconfig do servidor da API de gestão para substituir MANAGEMENT_API_SERVER nestas instruções.

Acerca do IAM

O Distributed Cloud oferece gestão de identidade e de acesso (IAM) para acesso detalhado a recursos específicos do Distributed Cloud e impede o acesso indesejado a outros recursos. O IAM opera com base no princípio de segurança do menor privilégio e oferece controlo sobre quem tem autorização para determinados recursos através de funções e autorizações do IAM.

Leia a documentação do IAM em Iniciar sessão, que fornece instruções para iniciar sessão na consola do GDC ou na CLI gdcloud e usar kubectl para aceder às suas cargas de trabalho.

Funções predefinidas para recursos de VMs

Para criar VMs e discos de VMs num projeto, peça as autorizações adequadas ao administrador do IAM do projeto para um determinado projeto. Todas as funções de VM têm de ser associadas ao espaço de nomes do projeto onde a VM reside. Para gerir máquinas virtuais, o administrador de IAM do projeto pode atribuir-lhe as seguintes funções predefinidas:

Project VirtualMachine Admin project-vm-admin: gere VMs no espaço de nomes do projeto.
Project VirtualMachine Image Admin project-vm-image-admin: gere imagens de VMs no espaço de nomes do projeto.

Para ver uma lista de todas as funções predefinidas para operadores de aplicações (AO), consulte as descrições das funções.

Para conceder ou receber acesso a recursos de VMs, consulte o artigo Conceda acesso a recursos do projeto.

Valide o acesso do utilizador aos recursos de VM

Inicie sessão como o utilizador que está a pedir ou a validar autorizações.
Verifique se você ou o utilizador consegue criar máquinas virtuais:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i create virtualmachines.virtualmachine.gdc.goog
```
Substitua as variáveis usando as seguintes definições.

Variável Substituição

MANAGEMENT_API_SERVER O ficheiro kubeconfig do sistema de gdcloud auth login.

PROJECT O nome do projeto para criar imagens de VMs.
- Se o resultado for yes, tem autorizações para criar uma VM no projeto PROJECT.
- Se o resultado for no, não tem autorizações. Contacte o administrador do IAM do projeto e peça a função de administrador da máquina virtual do projeto (project-vm-admin) no espaço de nomes do projeto onde reside a VM.
Opcional: verifique se os utilizadores têm acesso a imagens de VMs ao nível do projeto. Por exemplo, execute os seguintes comandos para verificar se podem criar e usar recursos VirtualMachineImage ao nível do projeto:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i get virtualmachineimages.virtualmachine.gdc.goog
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER \
  -n PROJECT \
  auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog
```
Substitua as variáveis usando as seguintes definições.

Variável Substituição

MANAGEMENT_API_SERVER O ficheiro kubeconfig do servidor da API Management.

PROJECT O nome do projeto onde as imagens de VMs são criadas.
- Se o resultado for yes, o utilizador tem autorizações para aceder a imagens de VMs personalizadas no projeto PROJECT.
- Se o resultado for no, não tem autorizações. Contacte o administrador do IAM do projeto e peça a função de administrador de imagens de máquinas virtuais do projeto (project-vm-image-admin) no espaço de nomes do projeto onde reside a VM.

Variável	Substituição
`MANAGEMENT_API_SERVER`	O ficheiro kubeconfig do sistema de `gdcloud auth login`.
`PROJECT`	O nome do projeto para criar imagens de VMs.

Variável	Substituição
`MANAGEMENT_API_SERVER`	O ficheiro kubeconfig do servidor da API Management.
`PROJECT`	O nome do projeto onde as imagens de VMs são criadas.

Preparação das autorizações da IAM Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.