Pour accorder l'accès aux opérations Google Cloud Managed Lustre, attribuez des rôles Identity and Access Management (IAM) aux utilisateurs.
Les autorisations IAM ne contrôlent que l'accès aux opérations Google Cloud Managed Lustre, comme la création d'une instance Google Cloud Managed Lustre. Pour contrôler l'accès aux opérations du système de fichiers sur l'instance, comme la lecture ou l'écriture dans un fichier, utilisez les autorisations de fichier POSIX.
Autorisations et rôles
Managed Lustre utilise les autorisations suivantes :
| Autorisation | Description |
|---|---|
lustre.instances.create |
Créer des instances |
lustre.instances.delete |
Supprimer des instances |
lustre.instances.update |
Mettre à jour les instances Ne permet pas la suppression |
lustre.instances.get |
Décrire les instances |
lustre.instances.list |
Répertorier toutes les instances |
lustre.instances.exportData
|
Exporter des données depuis Managed Lustre vers Cloud Storage |
lustre.instances.importData
|
Importer des données depuis Cloud Storage vers Managed Lustre |
lustre.locations.get |
Obtenir un lieu |
lustre.locations.list |
Lister tous les lieux acceptés |
lustre.operations.list |
Répertorier les opérations |
lustre.operations.get |
Obtenir une opération |
lustre.operations.cancel |
Annuler une opération |
lustre.operations.delete |
Supprimer une opération |
Google Cloud ne permet pas d'accorder directement des autorisations individuelles. Vous devez accorder un rôle qui contient des autorisations. Voici les rôles prédéfinis de Managed Lustre :
- Administrateur Managed Lustre (
roles/lustre.admin) - Lecteur Managed Lustre (
roles/lustre.viewer)
Le tableau suivant répertorie les autorisations accordées par les rôles prédéfinis pour Managed Lustre, ainsi que le rôle Éditeur de base :
| Capacité | Éditeur (roles/editor) |
Managed Lustre (roles/lustre.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| Créer des instances | |||
| Supprimer des instances | |||
| Mettre à jour les instances | |||
| Obtenir des instances | |||
| Répertorier les instances | |||
| Importer/exporter des données depuis/vers Cloud Storage | |||
| Obtenir un lieu | |||
| Lister les emplacements acceptés | |||
| Répertorier les opérations de longue durée | |||
| Obtenir une opération | |||
| Annuler une opération | |||
| Supprimer une opération | |||
Rôles personnalisés
Si les rôles prédéfinis disponibles ne répondent pas aux exigences d'accès de votre organisation, vous pouvez créer et appliquer des rôles IAM personnalisés.
Lorsque vous créez des rôles personnalisés, nous vous recommandons d'utiliser une combinaison de rôles prédéfinis pour vous assurer que les autorisations appropriées sont incluses.
Autorisations Google Cloud supplémentaires requises
En plus des autorisations lustre, certaines autorisations Google Cloudsont requises pour effectuer des tâches spécifiques.
| Tâche | Autorisation |
|---|---|
| Créer un réseau VPC | Consultez la section Autorisations requises de Configurer un réseau VPC. |
| Importer depuis Cloud Storage | Le compte de service Managed Lustre nécessite roles/storage.admin sur le bucket source.
Pour obtenir des instructions, consultez la section Autorisations requises de Transférer des données vers ou depuis Cloud Storage. |
| Exporter vers Cloud Storage | Le compte de service Managed Lustre nécessite roles/storage.admin sur le bucket de destination.
Pour obtenir des instructions, consultez la section Autorisations requises de Transférer des données vers ou depuis Cloud Storage. |
| Créer des VM Compute Engine | Administrateur d'instances Compute (v1)
(roles/compute.instanceAdmin.v1)
Pour en savoir plus, consultez la documentation Compute Engine. |
| Créer et gérer des clusters Google Kubernetes Engine | Administrateur de conteneur
(roles/container.admin)
Pour en savoir plus, consultez la documentation Google Kubernetes Engine. |