ユーザーに Identity and Access Management(IAM)のロールを付与することで、Google Cloud Managed Lustre オペレーションへのアクセス権を付与します。
IAM の権限は、Google Cloud Managed Lustre インスタンスの作成など、Google Cloud Managed Lustre オペレーションへのアクセス権のみを制御します。ファイルへの読み取りや書き込みなど、インスタンスでのファイル システム オペレーションへのアクセス権を制御するには、POSIX ファイル権限を使用します。
権限とロール
Managed Lustre では次の権限を使用します。
| 権限 | 説明 |
|---|---|
lustre.instances.create |
新しいインスタンスを作成する |
lustre.instances.delete |
インスタンスを削除する |
lustre.instances.update |
インスタンスを更新します。削除はできません |
lustre.instances.get |
インスタンスを記述する |
lustre.instances.list |
すべてのインスタンスのリスト |
lustre.instances.exportData
|
Managed Lustre から Cloud Storage にデータをエクスポートする |
lustre.instances.importData
|
Cloud Storage から Managed Lustre にデータをインポートする |
lustre.locations.get |
ロケーションを取得する |
lustre.locations.list |
サポートされているすべてのロケーションを一覧表示する |
lustre.operations.list |
処理の一覧を表示します |
lustre.operations.get |
オペレーションを取得する |
lustre.operations.cancel |
オペレーションのキャンセル |
lustre.operations.delete |
オペレーションを削除する |
Google Cloud では、個々の権限を直接付与することはできません。権限を含むロールを付与する必要があります。Managed Lustre の事前定義ロールは次のとおりです。
- Managed Lustre 管理者(
roles/lustre.admin) - Managed Lustre 閲覧者(
roles/lustre.viewer)
次の表に、Managed Lustre の事前定義ロールによって付与される 権限と、 基本的な編集者ロールを示します。
| 能力 | 編集者(roles/editor) |
Managed Lustre(roles/lustre.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| インスタンスの作成 | |||
| インスタンスの削除 | |||
| インスタンスの更新 | |||
| インスタンスの取得 | |||
| インスタンスの一覧取得 | |||
| Cloud Storage との間でのデータのインポート / エクスポート | |||
| ロケーションを取得する | |||
| サポートされているロケーションを一覧表示する | |||
| 長時間実行オペレーションを一覧表示する | |||
| オペレーションを取得する | |||
| オペレーションのキャンセル | |||
| オペレーションを削除する | |||
カスタムロール
使用可能な事前定義ロールが組織のアクセス 要件を満たしていない場合は、 カスタム IAM ロールを作成して適用できます。
カスタムロールを作成する場合は、適切な権限が含まれるように事前定義ロールを組み合わせて使用することをおすすめします。
追加の必須 Google Cloud 権限
lustre 権限に加えて、特定のタスクを完了するために必要な権限がいくつかあります。 Google Cloud
| タスク | 権限 |
|---|---|
| VPC ネットワークを作成する | VPC ネットワークを構成するの 必要な権限セクションを参照してください。 |
| Cloud Storage からインポートする | Managed Lustre サービス アカウントには、ソース バケットに対する roles/storage.admin が必要です。
手順については、必要な権限セクションの
Cloud Storage との間でデータを転送するを参照してください。 |
| Cloud Storage にエクスポートする | Managed Lustre サービス アカウントには、宛先バケットに対する roles/storage.admin が必要です。
手順については、必要な権限セクションの
Cloud Storage との間でデータを転送するを参照してください。 |
| Compute Engine VM を作成する | Compute インスタンス管理者(v1)。
(roles/compute.instanceAdmin.v1)
詳細については、
Compute Engine のドキュメントをご覧ください。 |
| Google Kubernetes Engine クラスタを作成して管理する | コンテナ管理者。
(roles/container.admin)
詳細については、Google Kubernetes Engine のドキュメントをご覧ください。 |