Para otorgar acceso a las operaciones de Google Cloud Managed Lustre, asigna roles de Identity and Access Management (IAM) a los usuarios.
Los permisos de IAM solo controlan el acceso a las operaciones de Google Cloud Managed Lustre, como crear una instancia de Google Cloud Managed Lustre. Para controlar el acceso a las operaciones del sistema de archivos en la instancia, como leer o escribir en un archivo, usa los permisos de archivo POSIX.
Permisos y roles
Managed Lustre usa los siguientes permisos:
| Permiso | Descripción |
|---|---|
lustre.instances.create |
Crear instancias nuevas |
lustre.instances.delete |
Borrar instancias |
lustre.instances.update |
Actualiza instancias. No permite la eliminación |
lustre.instances.get |
Describe instancias |
lustre.instances.list |
Crea una lista de todas las instancias |
lustre.instances.exportData
|
Exporta datos de Lustre administrado a Cloud Storage |
lustre.instances.importData
|
Importa datos de Cloud Storage a Lustre administrado |
lustre.locations.get |
Cómo obtener una ubicación |
lustre.locations.list |
Enumera todas las ubicaciones admitidas |
lustre.operations.list |
Mostrar lista de operaciones |
lustre.operations.get |
Obtener una operación |
lustre.operations.cancel |
Cancela una operación |
lustre.operations.delete |
Borra una operación |
Google Cloud no admite el otorgamiento de permisos individuales directamente; debes otorgar un rol que contenga permisos. Los roles predefinidos de Managed Lustre son los siguientes:
- Administrador de Managed Lustre (
roles/lustre.admin) - Visualizador de Managed Lustre (
roles/lustre.viewer)
En la siguiente tabla, se enumeran los permisos que otorgan los roles predefinidos para Lustre administrado, así como el rol básico de Editor:
| Función | Editor (roles/editor) |
Managed Lustre (roles/lustre.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| Crea instancias | |||
| Borrar instancias | |||
| Actualizar instancias | |||
| Obtén instancias | |||
| Mostrar lista de instancias | |||
| Importa y exporta datos desde y hacia Cloud Storage | |||
| Cómo obtener una ubicación | |||
| Enumera las ubicaciones admitidas | |||
| Enumerar las operaciones de larga duración | |||
| Obtener una operación | |||
| Cancela una operación | |||
| Borra una operación | |||
Funciones personalizadas
Si los roles predefinidos disponibles no satisfacen los requisitos de acceso de tu organización, puedes crear y aplicar roles personalizados de IAM.
Cuando crees roles personalizados, te recomendamos usar una combinación de roles predefinidos para garantizar que los permisos correctos se incluyan juntos.
Permisos adicionales Google Cloud obligatorios
Además de los permisos de lustre, hay algunos permisos de Google Cloudque se requieren para completar tareas específicas.
| Tarea | Permiso |
|---|---|
| Crear red de VPC | Consulta la sección Permisos requeridos de Configura una red de VPC. |
| Importar desde Cloud Storage | La cuenta de servicio de Lustre administrado requiere roles/storage.admin en el bucket de origen.
Consulta la sección Permisos necesarios de Transfiere datos hacia o desde Cloud Storage para obtener instrucciones. |
| Exporta a Cloud Storage | La cuenta de servicio de Lustre administrado requiere roles/storage.admin en el bucket de destino.
Consulta la sección Permisos necesarios de Transfiere datos hacia o desde Cloud Storage para obtener instrucciones. |
| Crea VMs de Compute Engine | Administrador de instancias de Compute (v1)
(roles/compute.instanceAdmin.v1)
Para obtener más información, consulta la documentación de Compute Engine. |
| Crea y administra clústeres de Google Kubernetes Engine | Administrador de contenedores
(roles/container.admin)
Para obtener más información, consulta la documentación de Google Kubernetes Engine. |