이 문서에서는 Google Distributed Cloud (GDC) 에어 갭에서 서브넷을 효과적으로 관리하기 위해 Identity and Access Management (IAM) 권한을 준비하는 방법을 설명합니다.
GDC는 특정 리소스에 대한 세분화된 액세스에 IAM을 사용합니다. 이 모델은 다른 리소스에 대한 무단 액세스를 방지하는 데 도움이 됩니다.
역할은 리소스에서 특정 작업을 수행할 수 있는 권한 모음입니다. 사용자, 그룹, 서비스 계정과 같은 주체에 역할을 할당합니다. GDC에서 서브넷을 관리하려면 필요한 IAM 역할이 있어야 합니다.
이 문서는 조직 내 네트워킹 요구사항 관리를 담당하는 플랫폼 관리자 그룹의 네트워크 관리자를 대상으로 합니다. 자세한 내용은 GDC 오프라인 문서의 대상을 참고하세요.
서브넷의 IAM 역할
GDC는 서브넷 관리를 위해 다음과 같은 IAM 역할을 지원합니다.
- 서브넷 조직 관리자 (
subnet-global-org-admin): 조직 내 여러 영역 서브넷을 관리합니다. 이는 전역 권한입니다. - 서브넷 조직 관리자 (
subnet-org-admin): 조직 내의 영역 서브넷을 관리합니다. 이는 영역 권한입니다. - 서브넷 프로젝트 관리자 (
subnet-global-project-admin): 프로젝트 내 여러 영역 서브넷을 관리합니다. 이는 전역 권한입니다. - 서브넷 프로젝트 관리자 (
subnet-project-admin): 프로젝트 내의 영역 서브넷을 관리합니다. 이는 영역 권한입니다.- 이 역할에는 프로젝트 네임스페이스의 모든 서브넷을 읽고 프로젝트 네임스페이스의 대부분의 서브넷을 만들거나 업데이트하거나 삭제할 수 있는 권한이 포함됩니다.
- 이 역할은 루트 유형 서브넷 (
subnet.Spec.Type == Root)을 만들거나, 업데이트, 삭제할 수 있는 권한을 부여하지 않습니다.
- 서브넷 프로젝트 운영자 (
subnet-project-operator): 프로젝트 내에서 리프 유형 자동 할당 서브넷을 관리합니다.- 이 역할에는 프로젝트의 모든 서브넷을 읽고 프로젝트 네임스페이스에서 자동 할당된 리프 서브넷만 생성, 업데이트 또는 삭제할 수 있는 권한이 있습니다.
- 이 역할은 다음 서브넷을 만들거나, 업데이트, 삭제할 수 있는 권한을 부여하지 않습니다.
- 루트 또는 브랜치 유형 서브넷 (
subnet.Spec.Type == Root또는subnet.Spec.Type == Branch) - 네트워크 서브넷 (
subnet.Spec.NetworkSpec != nil) - 전용 CIDR 블록 (
subnet.Spec.Ipv4Request.CIDR != nil또는subnet.Spec.Ipv6Request.CIDR != nil)이 있는 서브넷
- 루트 또는 브랜치 유형 서브넷 (
- 서브넷 플랫폼 뷰어 (
subnet-platform-viewer):platform네임스페이스의 서브넷을 나열합니다. - 공유 서브넷 사용자 (
shared-subnet-user):platform네임스페이스의 공유 서브넷을 상위로 사용하여 프로젝트 내에 서브넷을 할당합니다. - SUBNET_NAME 사용자 (
SUBNET_NAME-user):platform네임스페이스에서 특정 서브넷을 사용합니다.- 프로젝트 내에서 서브넷을 할당하는 상위로 사용할
platform네임스페이스의 전용 서브넷을 부여하려면 서브넷 조직 관리자가 서브넷을 만들거나 업데이트하고 서브넷의"ipam.gdc.goog/subnet-delegation-role": auto주석을 설정해야 합니다. - 프로젝트 내부 서브넷 할당을 위해
platform네임스페이스 내에서 서브넷 그룹을 사용 설정하려면 서브넷 조직 관리자가 그룹의 모든 서브넷에"ipam.gdc.goog/subnet-delegation-role": auto주석을 설정해야 합니다.
- 프로젝트 내에서 서브넷을 할당하는 상위로 사용할