Preparar permissões do IAM

Neste documento, explicamos como preparar suas permissões do Identity and Access Management (IAM) para gerenciar sub-redes com eficiência no Google Distributed Cloud (GDC) com isolamento físico.

O GDC usa o IAM para acesso granular a recursos específicos. Esse modelo ajuda a evitar o acesso não autorizado a outros recursos.

Um papel é um conjunto de permissões que permitem realizar ações específicas em recursos. Você atribui papéis a assuntos, como usuários, grupos ou contas de serviço. Para gerenciar sub-redes no GDC, você precisa ter os papéis necessários do IAM.

Este documento é destinado a administradores de rede no grupo de administradores de plataforma responsáveis por gerenciar os requisitos de rede na organização. Para mais informações, consulte Públicos-alvo da documentação do GDC com isolamento físico.

Papéis do IAM para sub-redes

O GDC oferece suporte às seguintes funções do IAM para gerenciar sub-redes:

  • Administrador da organização de sub-rede (subnet-global-org-admin): gerencia várias sub-redes de zona na organização. Essa é uma permissão global.
  • Administrador da organização de sub-redes (subnet-org-admin): gerencia sub-redes zonais na organização. Essa é uma permissão zonal.
  • Administrador do projeto de sub-rede (subnet-global-project-admin): gerencia várias sub-redes de zona em um projeto. Essa é uma permissão global.
  • Administrador de projetos de sub-rede (subnet-project-admin): gerencia sub-redes zonais em um projeto. Essa é uma permissão zonal.
    • Essa função inclui permissão para ler todas as sub-redes no namespace do projeto e para criar, atualizar ou excluir a maioria das sub-redes no namespace do projeto.
    • Essa função não concede permissão para criar, atualizar ou excluir sub-redes do tipo raiz (subnet.Spec.Type == Root).
  • Operador de projeto de sub-rede (subnet-project-operator): gerencia sub-redes de tipo folha com alocação automática em projetos.
    • Essa função tem permissão para ler todas as sub-redes do projeto e para criar, atualizar ou excluir apenas as sub-redes folha alocadas automaticamente nos namespaces do projeto.
    • Esse papel não concede permissão para criar, atualizar ou excluir as seguintes sub-redes:
      • Sub-redes de tipo raiz ou ramificação (subnet.Spec.Type == Root ou subnet.Spec.Type == Branch)
      • Sub-redes de rede (subnet.Spec.NetworkSpec != nil)
      • Sub-redes com blocos CIDR dedicados (subnet.Spec.Ipv4Request.CIDR != nil ou subnet.Spec.Ipv6Request.CIDR != nil)
  • Leitor da plataforma de sub-rede (subnet-platform-viewer): lista as sub-redes no namespace platform.
  • Usuário da sub-rede compartilhada (shared-subnet-user): usa uma sub-rede compartilhada no namespace platform como um elemento pai para alocar uma sub-rede dentro do projeto.
  • Usuário do SUBNET_NAME (SUBNET_NAME-user): usa sub-redes específicas no namespace platform.
    • Para conceder uma sub-rede dedicada no namespace platform para uso como elemento principal para alocar uma sub-rede dentro do projeto, o administrador da organização de sub-rede precisa criar ou atualizar uma sub-rede e definir a anotação "ipam.gdc.goog/subnet-delegation-role": auto para ela.
    • Para ativar um grupo de sub-redes no namespace platform para alocação de sub-redes internas do projeto, o administrador da organização de sub-redes precisa definir a anotação "ipam.gdc.goog/subnet-delegation-role": auto em todas as sub-redes do grupo.

A seguir