您可通过向用户授予 Identity and Access Management (IAM) 角色来授予对 Google Cloud Managed Lustre 操作的访问权限。
IAM 权限只能控制对 Google Cloud Managed Lustre 操作(例如创建 Google Cloud Managed Lustre 实例)的访问权限。如需控制对实例上的文件系统操作(例如读取或写入文件)的访问权限,请使用 POSIX 文件权限。
权限和角色
Managed Lustre 使用以下权限:
| 权限 | 说明 |
|---|---|
lustre.instances.create |
创建新实例 |
lustre.instances.delete |
删除实例 |
lustre.instances.update |
更新实例。不允许删除 |
lustre.instances.get |
描述实例 |
lustre.instances.list |
列出所有实例 |
lustre.instances.exportData
|
将数据从 Managed Lustre 导出到 Cloud Storage |
lustre.instances.importData
|
将数据从 Cloud Storage 导入到 Managed Lustre |
lustre.locations.get |
获取位置 |
lustre.locations.list |
列出所有支持的地点 |
lustre.operations.list |
列出操作 |
lustre.operations.get |
获取操作 |
lustre.operations.cancel |
取消操作 |
lustre.operations.delete |
删除操作 |
Google Cloud 不支持直接授予单个权限;您必须授予包含权限的角色。Managed Lustre 的预定义角色包括:
- Managed Lustre Admin (
roles/lustre.admin) - Managed Lustre 查看器 (
roles/lustre.viewer)
下表列出了由托管 Lustre 的预定义角色以及基本 Editor 角色授予的权限:
| 能力 | Editor (roles/editor) |
Managed Lustre (roles/lustre.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| 创建实例 | |||
| 删除实例 | |||
| 更新实例 | |||
| 获取实例 | |||
| 列出实例 | |||
| 从 Cloud Storage 导入/导出数据 | |||
| 获取位置 | |||
| 列出支持的位置 | |||
| 列出长时间运行的操作 | |||
| 获取操作 | |||
| 取消操作 | |||
| 删除操作 | |||
自定义角色
如果可用的预定义角色不符合贵组织的访问权限要求,您可以创建并应用 IAM 自定义角色。
创建自定义角色时,建议将预定义角色进行组合,以确保包含正确的权限。
其他必需的 Google Cloud 权限
除了 lustre 权限之外,还需要一些 Google Cloud权限才能完成特定任务。
| 任务 | 权限 |
|---|---|
| 创建 VPC 网络 | 请参阅配置 VPC 网络的所需权限部分 |
| 从 Cloud Storage 导入 | Managed Lustre 服务账号需要对源存储桶具有 roles/storage.admin 权限。
如需相关说明,请参阅将数据转移到 Cloud Storage 或从 Cloud Storage 转移数据的所需权限部分。 |
| 导出到 Cloud Storage | 受管 Lustre 服务账号需要对目标存储桶具有 roles/storage.admin 权限。
如需相关说明,请参阅将数据转移到 Cloud Storage 或从 Cloud Storage 转移数据的所需权限部分。 |
| 创建 Compute Engine 虚拟机 | Compute Instance Admin (v1)。(roles/compute.instanceAdmin.v1)
如需了解详情,请参阅 Compute Engine 文档。 |
| 创建和管理 Google Kubernetes Engine 集群 | Container Admin。
(roles/container.admin)
如需了解详情,请参阅 Google Kubernetes Engine 文档。 |