En este documento, se explica cómo preparar tus permisos de Identity and Access Management (IAM) para administrar subredes de manera eficaz en Google Distributed Cloud (GDC) aislado.
GDC usa IAM para brindar acceso detallado a recursos específicos. Este modelo ayuda a evitar el acceso no autorizado a otros recursos.
Un rol es un conjunto de permisos que te permiten realizar acciones específicas en los recursos. Asignas roles a sujetos, como usuarios, grupos o cuentas de servicio. Para administrar subredes en GDC, debes tener los roles de IAM necesarios.
Este documento está dirigido a los administradores de redes dentro del grupo de administradores de la plataforma que son responsables de administrar los requisitos de redes dentro de su organización. Para obtener más información, consulta Públicos de la documentación de Google Distributed Cloud aislado.
Roles de IAM para subredes
GDC admite los siguientes roles de IAM para administrar subredes:
- Administrador de la organización de subredes (
subnet-global-org-admin): Administra varias subredes de zonas dentro de la organización. Este es un permiso global. - Administrador de la organización de subredes (
subnet-org-admin): Administra las subredes zonales dentro de la organización. Este es un permiso zonal. - Administrador de subredes del proyecto (
subnet-global-project-admin): Administra varias subredes de zona dentro de un proyecto. Este es un permiso global. - Administrador de subredes del proyecto (
subnet-project-admin): Administra las subredes zonales dentro de un proyecto. Este es un permiso zonal.- Este rol incluye permiso para leer todas las subredes en el espacio de nombres del proyecto y para crear, actualizar o borrar la mayoría de las subredes en el espacio de nombres del proyecto.
- Este rol no otorga permiso para crear, actualizar ni borrar subredes de tipo raíz (
subnet.Spec.Type == Root).
- Operador de proyectos de subredes (
subnet-project-operator): Administra las subredes asignadas automáticamente de tipo hoja dentro de los proyectos.- Este rol tiene permiso para leer todas las subredes del proyecto y para crear, actualizar o borrar solo las subredes hoja asignadas automáticamente en los espacios de nombres del proyecto.
- Este rol no otorga permiso para crear, actualizar ni borrar las siguientes subredes:
- Subredes de tipo raíz o rama (
subnet.Spec.Type == Rootosubnet.Spec.Type == Branch) - Subredes de red (
subnet.Spec.NetworkSpec != nil) - Subredes con bloques CIDR dedicados (
subnet.Spec.Ipv4Request.CIDR != nilosubnet.Spec.Ipv6Request.CIDR != nil)
- Subredes de tipo raíz o rama (
- Visualizador de la plataforma de subredes (
subnet-platform-viewer): Enumera las subredes en el espacio de nombresplatform. - Usuario de subred compartida (
shared-subnet-user): Usa una subred compartida en el espacio de nombresplatformcomo elemento superior para asignar una subred dentro del proyecto. - Usuario de SUBNET_NAME (
SUBNET_NAME-user): Usa subredes específicas en el espacio de nombresplatform.- Para otorgar una subred dedicada en el espacio de nombres
platformpara usarla como elemento superior y asignar una subred dentro del proyecto, el administrador de la organización de subredes debe crear o actualizar una subred y establecer la anotación"ipam.gdc.goog/subnet-delegation-role": autopara ella. - Para habilitar un grupo de subredes dentro del espacio de nombres
platformpara la asignación de subredes internas del proyecto, el administrador de la organización de subredes debe establecer la anotación"ipam.gdc.goog/subnet-delegation-role": autoen todas las subredes del grupo.
- Para otorgar una subred dedicada en el espacio de nombres
¿Qué sigue?
- Aprovisiona direcciones IP para las cargas de trabajo
- Importa tus propias direcciones IP externas
- Diseña límites de acceso entre recursos.