本文档介绍了如何准备 Identity and Access Management (IAM) 权限,以便在 Google Distributed Cloud (GDC) 气隙环境中有效管理子网。
GDC 使用 IAM 来授予对特定资源的精细访问权限。此模型有助于防止未经授权访问其他资源。
角色是一组权限,可让您对资源执行特定操作。您可以向正文(例如用户、群组或服务账号)分配角色。如需在 GDC 中管理子网,您必须拥有所需的 IAM 角色。
本文档适用于平台管理员群组中的网络管理员,他们负责管理组织内的网络要求。如需了解详情,请参阅 GDC 气隙环境文档的受众群体。
子网的 IAM 角色
GDC 支持以下 IAM 角色来管理子网:
- 子网组织管理员 (
subnet-global-org-admin):管理组织内的多个可用区子网。这是全局权限。 - Subnet Org Admin (
subnet-org-admin):管理组织内的可用区子网。这是区域级权限。 - 子网项目管理员 (
subnet-global-project-admin):管理项目中的多个可用区子网。这是全局权限。 - 子网项目管理员 (
subnet-project-admin):管理项目中的可用区子网。这是区域级权限。- 此角色包含读取项目命名空间中所有子网的权限,以及创建、更新或删除项目命名空间中大多数子网的权限。
- 此角色不授予创建、更新或删除根类型子网 (
subnet.Spec.Type == Root) 的权限。
- 子网项目操作员 (
subnet-project-operator):管理项目中的叶类型自动分配子网。- 此角色有权读取项目中的所有子网,但只能在项目命名空间中创建、更新或删除自动分配的叶子子网。
- 此角色不授予创建、更新或删除以下子网的权限:
- 根或分支类型子网(
subnet.Spec.Type == Root或subnet.Spec.Type == Branch) - 网络子网 (
subnet.Spec.NetworkSpec != nil) - 具有专用 CIDR 地址块(
subnet.Spec.Ipv4Request.CIDR != nil或subnet.Spec.Ipv6Request.CIDR != nil)的子网
- 根或分支类型子网(
- 子网平台查看器 (
subnet-platform-viewer):列出platform命名空间中的子网。 - 共享子网用户 (
shared-subnet-user):使用platform命名空间中的共享子网作为父级,以在项目内分配子网。 - SUBNET_NAME 用户 (
SUBNET_NAME-user):使用platform命名空间中的特定子网。- 如需在
platform命名空间中授予专用子网以用作父级,以便在项目内分配子网,子网组织管理员必须创建或更新子网并为其设置"ipam.gdc.goog/subnet-delegation-role": auto注解。 - 如需在
platform命名空间内启用子网组以进行项目内部子网分配,子网组织管理员必须在组中的所有子网上设置"ipam.gdc.goog/subnet-delegation-role": auto注解。
- 如需在