このドキュメントでは、Identity and Access Management(IAM)権限を準備して、Google Distributed Cloud(GDC)エアギャップでサブネットを効果的に管理する方法について説明します。
GDC は、特定のリソースに対するきめ細かいアクセスに IAM を使用します。このモデルは、他のリソースへの不正アクセスを防ぐのに役立ちます。
ロールは、リソースに対して特定の操作を実行できる権限の集合です。ロールは、ユーザー、グループ、サービス アカウントなどのサブジェクトに割り当てます。GDC でサブネットを管理するには、必要な IAM ロールが必要です。
このドキュメントは、組織内のネットワーキング要件の管理を担当するプラットフォーム管理者グループ内のネットワーク管理者を対象としています。詳細については、GDC エアギャップの対象読者に関するドキュメントをご覧ください。
サブネットの IAM ロール
GDC は、サブネットの管理に次の IAM ロールをサポートしています。
- サブネット組織管理者(
subnet-global-org-admin): 組織内の複数のゾーン サブネットを管理します。これはグローバル権限です。 - サブネット組織管理者(
subnet-org-admin): 組織内のゾーン サブネットを管理します。これはゾーン権限です。 - サブネット プロジェクト管理者(
subnet-global-project-admin): プロジェクト内の複数のゾーン サブネットを管理します。これはグローバル権限です。 - サブネット プロジェクト管理者(
subnet-project-admin): プロジェクト内のゾーン サブネットを管理します。これはゾーン権限です。- このロールには、プロジェクト Namespace 内のすべてのサブネットを読み取る権限と、プロジェクト Namespace 内のほとんどのサブネットを作成、更新、削除する権限が含まれています。
- このロールでは、ルートタイプのサブネット(
subnet.Spec.Type == Root)の作成、更新、削除の権限は付与されません。
- サブネット プロジェクト オペレーター(
subnet-project-operator): プロジェクト内のリーフタイプの自動割り当てサブネットを管理します。- このロールには、プロジェクト内のすべてのサブネットを読み取る権限と、プロジェクト Namespace 内の自動割り当てリーフ サブネットのみを作成、更新、削除する権限があります。
- このロールでは、次のサブネットの作成、更新、削除を行う権限は付与されません。
- ルートまたはブランチタイプのサブネット(
subnet.Spec.Type == Rootまたはsubnet.Spec.Type == Branch) - ネットワーク サブネット(
subnet.Spec.NetworkSpec != nil) - 専用の CIDR ブロック(
subnet.Spec.Ipv4Request.CIDR != nilまたはsubnet.Spec.Ipv6Request.CIDR != nil)を持つサブネット
- ルートまたはブランチタイプのサブネット(
- サブネット プラットフォーム閲覧者(
subnet-platform-viewer):platform名前空間のサブネットを一覧表示します。 - 共有サブネット ユーザー(
shared-subnet-user):platform名前空間の共有サブネットを親として使用し、プロジェクト内にサブネットを割り当てます。 - SUBNET_NAME ユーザー(
SUBNET_NAME-user):platformNamespace の特定のサブネットを使用します。platformNamespace の専用サブネットを親として使用して、プロジェクト内のサブネットを割り当てるには、サブネット組織管理者がサブネットを作成または更新し、そのサブネットに"ipam.gdc.goog/subnet-delegation-role": autoアノテーションを設定する必要があります。- プロジェクト内部のサブネット割り当て用に
platform名前空間内のサブネット グループを有効にするには、サブネット組織管理者がグループ内のすべてのサブネットに"ipam.gdc.goog/subnet-delegation-role": autoアノテーションを設定する必要があります。