Siapkan izin IAM

Dokumen ini menjelaskan cara menyiapkan izin Identity and Access Management (IAM) untuk mengelola subnet secara efektif di Google Distributed Cloud (GDC) yang terisolasi.

GDC menggunakan IAM untuk akses terperinci ke resource tertentu. Model ini membantu mencegah akses tidak sah ke resource lain.

Peran adalah kumpulan izin yang memungkinkan Anda melakukan tindakan tertentu pada resource. Anda menetapkan peran ke subjek, seperti pengguna, grup, atau akun layanan. Untuk mengelola subnet di GDC, Anda harus memiliki peran IAM yang diperlukan.

Dokumen ini ditujukan bagi administrator jaringan dalam grup administrator platform yang bertanggung jawab mengelola persyaratan jaringan dalam organisasi mereka. Untuk mengetahui informasi selengkapnya, lihat Audiens untuk dokumentasi GDC yang terisolasi dari internet.

Peran IAM untuk subnet

GDC mendukung peran IAM berikut untuk mengelola subnet:

  • Subnet Org Admin (subnet-global-org-admin): Mengelola beberapa subnet zona dalam organisasi. Ini adalah izin global.
  • Admin Org Subnet (subnet-org-admin): Mengelola subnet zonal dalam organisasi. Ini adalah izin per zona.
  • Admin Project Subnet (subnet-global-project-admin): Mengelola beberapa subnet zona dalam project. Ini adalah izin global.
  • Admin Project Subnet (subnet-project-admin): Mengelola subnet zonal dalam project. Ini adalah izin per zona.
    • Peran ini mencakup izin untuk membaca semua subnet di namespace project dan untuk membuat, mengupdate, atau menghapus sebagian besar subnet di namespace project.
    • Peran ini tidak memberikan izin untuk membuat, memperbarui, atau menghapus subnet jenis root (subnet.Spec.Type == Root).
  • Operator Project Subnet (subnet-project-operator): Mengelola subnet yang dialokasikan otomatis jenis leaf dalam project.
    • Peran ini memiliki izin untuk membaca semua subnet dalam project dan untuk membuat, memperbarui, atau menghapus hanya subnet leaf yang dialokasikan otomatis dalam namespace project.
    • Peran ini tidak memberikan izin untuk membuat, memperbarui, atau menghapus subnet berikut:
      • Subnet jenis root atau cabang (subnet.Spec.Type == Root atau subnet.Spec.Type == Branch)
      • Subnet jaringan (subnet.Spec.NetworkSpec != nil)
      • Subnet dengan blok CIDR khusus (subnet.Spec.Ipv4Request.CIDR != nil atau subnet.Spec.Ipv6Request.CIDR != nil)
  • Subnet Platform Viewer (subnet-platform-viewer): Mencantumkan subnet di namespace platform.
  • Pengguna Subnet Bersama (shared-subnet-user): Menggunakan subnet bersama di namespace platform sebagai induk untuk mengalokasikan subnet di dalam project.
  • SUBNET_NAME Pengguna (SUBNET_NAME-user): Menggunakan subnet tertentu di namespace platform.
    • Untuk memberikan subnet khusus di namespace platform untuk digunakan sebagai induk guna mengalokasikan subnet di dalam project, Admin Org. Subnet harus membuat atau memperbarui subnet dan menetapkan anotasi "ipam.gdc.goog/subnet-delegation-role": auto untuknya.
    • Untuk mengaktifkan grup subnet dalam namespace platform untuk alokasi subnet internal project, Admin Org Subnet harus menetapkan anotasi "ipam.gdc.goog/subnet-delegation-role": auto pada semua subnet dalam grup.

Langkah berikutnya