Ce document explique comment préparer vos autorisations Identity and Access Management (IAM) pour gérer efficacement les sous-réseaux dans Google Distributed Cloud (GDC) sous air gap.
GDC utilise IAM pour accorder un accès précis à des ressources spécifiques. Ce modèle permet d'empêcher tout accès non autorisé à d'autres ressources.
Un rôle est un ensemble d'autorisations qui vous permet d'effectuer des actions spécifiques sur les ressources. Vous attribuez des rôles à des sujets, tels que des utilisateurs, des groupes ou des comptes de service. Pour gérer les sous-réseaux dans GDC, vous devez disposer des rôles IAM requis.
Ce document s'adresse aux administrateurs réseau du groupe d'administrateurs de plate-forme, qui sont chargés de gérer les exigences réseau au sein de leur organisation. Pour en savoir plus, consultez la documentation sur les audiences pour GDC sous air gap.
Rôles IAM pour les sous-réseaux
GDC est compatible avec les rôles IAM suivants pour la gestion des sous-réseaux :
- Administrateur de l'organisation du sous-réseau (
subnet-global-org-admin) : gère plusieurs sous-réseaux de zone au sein de l'organisation. Il s'agit d'une autorisation globale. - Administrateur de sous-réseau (
subnet-org-admin) : gère les sous-réseaux zonaux au sein de l'organisation. Il s'agit d'une autorisation zonale. - Administrateur de projet de sous-réseau (
subnet-global-project-admin) : gère plusieurs sous-réseaux de zone dans un projet. Il s'agit d'une autorisation globale. - Administrateur de projet de sous-réseau (
subnet-project-admin) : gère les sous-réseaux zonaux d'un projet. Il s'agit d'une autorisation zonale.- Ce rôle inclut l'autorisation de lire tous les sous-réseaux de l'espace de noms du projet, et de créer, modifier ou supprimer la plupart des sous-réseaux de l'espace de noms du projet.
- Ce rôle n'accorde pas l'autorisation de créer, de modifier ni de supprimer des sous-réseaux de type racine (
subnet.Spec.Type == Root).
- Opérateur de projet de sous-réseau (
subnet-project-operator) : gère les sous-réseaux à allocation automatique de type feuille dans les projets.- Ce rôle est autorisé à lire tous les sous-réseaux du projet et à créer, modifier ou supprimer uniquement les sous-réseaux feuilles alloués automatiquement dans les espaces de noms du projet.
- Ce rôle n'autorise pas la création, la mise à jour ni la suppression des sous-réseaux suivants :
- Sous-réseaux de type racine ou branche (
subnet.Spec.Type == Rootousubnet.Spec.Type == Branch) - Sous-réseaux (
subnet.Spec.NetworkSpec != nil) - Sous-réseaux avec des blocs CIDR dédiés (
subnet.Spec.Ipv4Request.CIDR != nilousubnet.Spec.Ipv6Request.CIDR != nil)
- Sous-réseaux de type racine ou branche (
- Lecteur de plate-forme de sous-réseau (
subnet-platform-viewer) : liste les sous-réseaux dans l'espace de nomsplatform. - Utilisateur de sous-réseau partagé (
shared-subnet-user) : utilise un sous-réseau partagé dans l'espace de nomsplatformcomme parent pour allouer un sous-réseau dans le projet. - SUBNET_NAME Utilisateur (
SUBNET_NAME-user) : utilise des sous-réseaux spécifiques dans l'espace de nomsplatform.- Pour accorder un sous-réseau dédié dans l'espace de noms
platformà utiliser comme parent pour allouer un sous-réseau dans le projet, l'administrateur de l'organisation de sous-réseau doit créer ou mettre à jour un sous-réseau et définir l'annotation"ipam.gdc.goog/subnet-delegation-role": autopour celui-ci. - Pour activer un groupe de sous-réseaux dans l'espace de noms
platformpour l'attribution de sous-réseaux internes au projet, l'administrateur de l'organisation du sous-réseau doit définir l'annotation"ipam.gdc.goog/subnet-delegation-role": autosur tous les sous-réseaux du groupe.
- Pour accorder un sous-réseau dédié dans l'espace de noms
Étapes suivantes
- Provisionner des adresses IP pour les charges de travail
- Apporter vos propres adresses IP externes
- Concevoir des limites d'accès entre les ressources