Prepara le autorizzazioni IAM

Questo documento spiega come preparare le autorizzazioni Identity and Access Management (IAM) per gestire in modo efficace le subnet in Google Distributed Cloud (GDC) air-gapped.

GDC utilizza IAM per l'accesso granulare a risorse specifiche. Questo modello contribuisce a impedire l'accesso non autorizzato ad altre risorse.

Un ruolo è un insieme di autorizzazioni che ti consentono di eseguire azioni specifiche sulle risorse. Assegni i ruoli ai soggetti, ad esempio utenti, gruppi o service account. Per gestire le subnet in GDC, devi disporre dei ruoli IAM richiesti.

Questo documento è destinato agli amministratori di rete all'interno del gruppo di amministratori della piattaforma responsabili della gestione dei requisiti di networking all'interno della loro organizzazione. Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.

Ruoli IAM per le subnet

GDC supporta i seguenti ruoli IAM per la gestione delle subnet:

  • Amministratore organizzazione subnet (subnet-global-org-admin): gestisce più subnet di zona all'interno dell'organizzazione. Si tratta di un'autorizzazione globale.
  • Amministratore organizzazione subnet (subnet-org-admin): gestisce le subnet di zona all'interno dell'organizzazione. Si tratta di un'autorizzazione zonale.
  • Amministratore progetto subnet (subnet-global-project-admin): gestisce più subnet di zona all'interno di un progetto. Si tratta di un'autorizzazione globale.
  • Amministratore progetto subnet (subnet-project-admin): gestisce le subnet di zona all'interno di un progetto. Si tratta di un'autorizzazione zonale.
    • Questo ruolo include l'autorizzazione per leggere tutte le subnet nello spazio dei nomi del progetto e per creare, aggiornare o eliminare la maggior parte delle subnet nello spazio dei nomi del progetto.
    • Questo ruolo non concede l'autorizzazione per creare, aggiornare o eliminare subnet di tipo radice (subnet.Spec.Type == Root).
  • Operatore di progetto subnet (subnet-project-operator): gestisce le subnet allocate automaticamente di tipo foglia all'interno dei progetti.
    • Questo ruolo ha l'autorizzazione per leggere tutte le subnet nel progetto e per creare, aggiornare o eliminare solo le subnet foglia allocate automaticamente negli spazi dei nomi del progetto.
    • Questo ruolo non concede l'autorizzazione per creare, aggiornare o eliminare le seguenti subnet:
      • Subnet di tipo radice o ramo (subnet.Spec.Type == Root o subnet.Spec.Type == Branch)
      • Subnet di rete (subnet.Spec.NetworkSpec != nil)
      • Subnet con blocchi CIDR dedicati (subnet.Spec.Ipv4Request.CIDR != nil o subnet.Spec.Ipv6Request.CIDR != nil)
  • Visualizzatore piattaforma subnet (subnet-platform-viewer): elenca le subnet nello spazio dei nomi platform.
  • Utente subnet condivisa (shared-subnet-user): utilizza una subnet condivisa nello spazio dei nomi platform come elemento principale per allocare una subnet all'interno del progetto.
  • Utente SUBNET_NAME (SUBNET_NAME-user): utilizza subnet specifiche nello spazio dei nomi platform.
    • Per concedere una subnet dedicata nello spazio dei nomi platform da utilizzare come elemento principale per allocare una subnet all'interno del progetto, l'amministratore dell'organizzazione della subnet deve creare o aggiornare una subnet e impostare l'annotazione "ipam.gdc.goog/subnet-delegation-role": auto.
    • Per attivare un gruppo di subnet all'interno dello spazio dei nomi platform per l'allocazione interna delle subnet del progetto, l'amministratore dell'organizzazione delle subnet deve impostare l'annotazione "ipam.gdc.goog/subnet-delegation-role": auto su tutte le subnet del gruppo.

Passaggi successivi