本文說明如何準備 Identity and Access Management (IAM) 權限,以便在 Google Distributed Cloud (GDC) 氣隙環境中有效管理子網路。
GDC 使用 IAM 授予特定資源的精細存取權。這個模型有助於防範未經授權存取其他資源。
角色是一組權限,可讓您對資源執行特定動作。您可以將角色指派給主體,例如使用者、群組或服務帳戶。如要在 GDC 中管理子網路,您必須具備必要的 IAM 角色。
本文件適用於平台管理員群組中的網路管理員,負責管理機構內的網路需求。詳情請參閱 GDC 氣隙環境適用的目標對象說明文件。
子網路的 IAM 角色
GDC 支援下列 IAM 角色,用於管理子網路:
- 子網路機構管理員 (
subnet-global-org-admin):管理機構內的多個區域子網路。這是全域權限。 - 子網路機構管理員 (
subnet-org-admin):管理機構內的區域子網路。這是區域權限。 - 子網路專案管理員 (
subnet-global-project-admin):管理專案中的多個區域子網路。這是全域權限。 - 子網路專案管理員 (
subnet-project-admin):管理專案內的區域子網路。這是區域權限。- 這個角色包含讀取專案命名空間中所有子網路的權限,以及在專案命名空間中建立、更新或刪除大部分子網路的權限。
- 這個角色不會授予建立、更新或刪除根類型子網路 (
subnet.Spec.Type == Root) 的權限。
- 子網路專案運算子 (
subnet-project-operator):管理專案中自動分配的葉型子網路。- 這個角色有權讀取專案中的所有子網路,但只能在專案命名空間中建立、更新或刪除自動分配的葉子子網路。
- 這個角色不會授予建立、更新或刪除下列子網路的權限:
- 根或分支類型子網路 (
subnet.Spec.Type == Root或subnet.Spec.Type == Branch) - 網路子網路 (
subnet.Spec.NetworkSpec != nil) - 具有專屬 CIDR 區塊的子網路 (
subnet.Spec.Ipv4Request.CIDR != nil或subnet.Spec.Ipv6Request.CIDR != nil)
- 根或分支類型子網路 (
- 子網路平台檢視器 (
subnet-platform-viewer):列出platform命名空間中的子網路。 - 共用子網路使用者 (
shared-subnet-user):使用platform命名空間中的共用子網路做為父項,在專案內分配子網路。 - SUBNET_NAME 使用者 (
SUBNET_NAME-user): 使用platform命名空間中的特定子網路。- 如要授予
platform命名空間中的專屬子網路,做為在專案內分配子網路的父項,子網路機構管理員必須建立或更新子網路,並為其設定"ipam.gdc.goog/subnet-delegation-role": auto註解。 - 如要在
platform命名空間中啟用子網路群組,以供專案內部子網路分配,子網路機構管理員必須在群組中的所有子網路上設定"ipam.gdc.goog/subnet-delegation-role": auto註解。
- 如要授予