IAM-Berechtigungen vorbereiten

In diesem Dokument wird beschrieben, wie Sie Ihre IAM-Berechtigungen (Identity and Access Management) vorbereiten, um Subnetze in Google Distributed Cloud (GDC) mit Air Gap effektiv zu verwalten.

GDC verwendet IAM für detaillierten Zugriff auf bestimmte Ressourcen. Dieses Modell trägt dazu bei, unbefugten Zugriff auf andere Ressourcen zu verhindern.

Eine Rolle ist eine Sammlung von Berechtigungen, mit denen Sie bestimmte Aktionen für Ressourcen ausführen können. Sie weisen Rollen Subjekten wie Nutzern, Gruppen oder Dienstkonten zu. Zum Verwalten von Subnetzen in GDC benötigen Sie die erforderlichen IAM-Rollen.

Dieses Dokument richtet sich an Netzwerkadministratoren in der Gruppe der Plattformadministratoren, die für die Verwaltung der Netzwerkanforderungen in ihrer Organisation verantwortlich sind. Weitere Informationen finden Sie unter Dokumentation zu Zielgruppen für GDC mit Air Gap.

IAM-Rollen für Subnetze

GDC unterstützt die folgenden IAM-Rollen für die Verwaltung von Subnetzen:

  • Subnetz-Organisationsadministrator (subnet-global-org-admin): Verwaltet mehrere Zonensubnetze innerhalb der Organisation. Dies ist eine globale Berechtigung.
  • Subnetz-Administrator (subnet-org-admin): Verwaltet zonale Subnetze innerhalb der Organisation. Dies ist eine zonale Berechtigung.
  • Subnetz-Projektadministrator (subnet-global-project-admin): Verwaltet mehrere Zonensubnetze in einem Projekt. Dies ist eine globale Berechtigung.
  • Subnetz-Projektadministrator (subnet-project-admin): Verwaltet zonale Subnetze innerhalb eines Projekts. Dies ist eine zonale Berechtigung.
    • Diese Rolle umfasst die Berechtigung, alle Subnetze im Projekt-Namespace zu lesen und die meisten Subnetze im Projekt-Namespace zu erstellen, zu aktualisieren oder zu löschen.
    • Diese Rolle gewährt keine Berechtigung zum Erstellen, Aktualisieren oder Löschen von Subnetzen vom Typ „Root“ (subnet.Spec.Type == Root).
  • Subnet Project Operator (subnet-project-operator): Verwaltet automatisch zugewiesene Subnetze vom Typ „Leaf“ in Projekten.
    • Diese Rolle hat die Berechtigung, alle Subnetze im Projekt zu lesen und nur die automatisch zugewiesenen Leaf-Subnetze in den Projekt-Namespaces zu erstellen, zu aktualisieren oder zu löschen.
    • Mit dieser Rolle können die folgenden Subnetze nicht erstellt, aktualisiert oder gelöscht werden:
      • Subnetze vom Typ „Stamm“ oder „Zweig“ (subnet.Spec.Type == Root oder subnet.Spec.Type == Branch)
      • Netzwerk-Subnetze (subnet.Spec.NetworkSpec != nil)
      • Subnetze mit dedizierten CIDR-Blöcken (subnet.Spec.Ipv4Request.CIDR != nil oder subnet.Spec.Ipv6Request.CIDR != nil)
  • Subnet Platform Viewer (subnet-platform-viewer): Listet Subnetze im Namespace platform auf.
  • Nutzer des freigegebenen Subnetzes (shared-subnet-user): Verwendet ein freigegebenes Subnetz im Namespace platform als übergeordnetes Element, um ein Subnetz im Projekt zuzuweisen.
  • SUBNET_NAME-Nutzer (SUBNET_NAME-user): Verwendet bestimmte Subnetze im platform-Namespace.
    • Damit ein dediziertes Subnetz im Namespace platform als übergeordnetes Element zum Zuweisen eines Subnetzes innerhalb des Projekts verwendet werden kann, muss der Subnetz-Organisationsadministrator ein Subnetz erstellen oder aktualisieren und die Annotation "ipam.gdc.goog/subnet-delegation-role": auto dafür festlegen.
    • Damit eine Subnetzgruppe im Namespace platform für die projektinterne Subnetzzuweisung aktiviert werden kann, muss der Subnetz-Organisationsadministrator die Annotation "ipam.gdc.goog/subnet-delegation-role": auto für alle Subnetze in der Gruppe festlegen.

Nächste Schritte