您可以為使用者授予 Identity and Access Management (IAM) 角色,讓使用者可存取 Google Cloud Managed Lustre 作業。
身分與存取權管理權限只會控制對 Google Cloud Managed Lustre 作業 (例如建立 Google Cloud Managed Lustre 執行個體) 的存取權。如要控管執行個體上檔案系統作業的存取權 (例如讀取或寫入檔案),請使用 POSIX 檔案權限。
權限與角色
Managed Lustre 會使用下列權限:
| 權限 | 說明 |
|---|---|
lustre.instances.create |
建立新執行個體 |
lustre.instances.delete |
刪除執行個體 |
lustre.instances.update |
更新執行個體。不允許刪除 |
lustre.instances.get |
描述執行個體 |
lustre.instances.list |
列出所有執行個體 |
lustre.instances.exportData
|
將資料從 Managed Lustre 匯出至 Cloud Storage |
lustre.instances.importData
|
將資料從 Cloud Storage 匯入 Managed Lustre |
lustre.locations.get |
取得位置 |
lustre.locations.list |
列出所有支援的地點 |
lustre.operations.list |
列出作業 |
lustre.operations.get |
取得作業 |
lustre.operations.cancel |
取消作業 |
lustre.operations.delete |
刪除作業 |
Google Cloud 不支援直接授予個別權限,您必須授予包含權限的角色。Managed Lustre 的預先定義角色如下:
- Managed Lustre 管理員 (
roles/lustre.admin) - Managed Lustre 檢視者 (
roles/lustre.viewer)
下表列出受管理 Lustre 預先定義角色授予的權限,以及基本編輯者角色:
| 功能 | 編輯者 (roles/editor) |
Managed Lustre (roles/lustre.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| 建立執行個體 | |||
| 刪除執行個體 | |||
| 更新執行個體 | |||
| 取得執行個體 | |||
| 列出執行個體 | |||
| 從 Cloud Storage 匯入/匯出資料 | |||
| 取得位置 | |||
| 列出支援的地區 | |||
| 列出長時間執行的作業 | |||
| 取得作業 | |||
| 取消作業 | |||
| 刪除作業 | |||
自訂角色
如果可用的預先定義角色不符合貴機構的存取權需求,您可以建立及套用自訂 IAM 角色。
建立自訂角色時,建議使用預先定義的角色組合,確保包含正確的權限。
其他必要 Google Cloud 權限
除了 lustre 權限外,您還需要某些 Google Cloud權限才能完成特定工作。
| 工作 | 權限 |
|---|---|
| 建立虛擬私有雲網路 | 請參閱「設定虛擬私有雲網路」一文的「必要權限」部分 |
| 從 Cloud Storage 匯入 | Managed Lustre 服務帳戶需要來源 bucket 的 roles/storage.admin。
如需操作說明,請參閱「將資料傳輸至 Cloud Storage 或從 Cloud Storage 傳輸資料」一文的「必要權限」一節。 |
| 匯出至 Cloud Storage | Managed Lustre 服務帳戶必須對目的地 bucket 具有 roles/storage.admin 權限。如需操作說明,請參閱「將資料傳輸至 Cloud Storage 或從 Cloud Storage 傳輸資料」一文的「必要權限」一節。 |
| 建立 Compute Engine VM | Compute 執行個體管理員 (v1)。(roles/compute.instanceAdmin.v1)
詳情請參閱 Compute Engine 說明文件。 |
| 建立及管理 Google Kubernetes Engine 叢集 | 容器管理員。
(roles/container.admin)
詳情請參閱 Google Kubernetes Engine 說明文件。 |