Pour accorder l'accès aux opérations Google Cloud Managed Lustre, vous devez attribuer des rôles IAM (Identity and Access Management) aux utilisateurs.
Les autorisations IAM ne contrôlent que l'accès aux opérations Google Cloud Managed Lustre, comme la création d'une instance Google Cloud Managed Lustre. Pour contrôler l'accès aux opérations du système de fichiers sur l'instance, comme la lecture ou l'écriture dans un fichier, utilisez les autorisations de fichier POSIX.
Autorisations et rôles
Managed Lustre utilise les autorisations suivantes :
| Autorisation | Description |
|---|---|
lustre.instances.create |
Créer des instances |
lustre.instances.delete |
Supprimer des instances |
lustre.instances.update |
Mettre à jour des instances (n'autorise pas la suppression) |
lustre.instances.get |
Décrire des instances |
lustre.instances.list |
Répertorier toutes les instances |
lustre.instances.exportData
|
Exporter des données de Managed Lustre vers Cloud Storage |
lustre.instances.importData
|
Importer des données de Cloud Storage vers Managed Lustre |
lustre.locations.get |
Obtenir un emplacement |
lustre.locations.list |
Répertorier tous les emplacements compatibles |
lustre.operations.list |
Répertorier les opérations |
lustre.operations.get |
Obtenir une opération |
lustre.operations.cancel |
Annuler une opération |
lustre.operations.delete |
Supprimer une opération |
Google Cloud ne permet pas d'accorder directement des autorisations individuelles. Vous devez accorder un rôle contenant des autorisations. Voici les rôles prédéfinis de Managed Lustre :
- Administrateur Managed Lustre (
roles/lustre.admin) - Lecteur Managed Lustre (
roles/lustre.viewer)
Le tableau suivant répertorie les autorisations accordées par les rôles prédéfinis pour Managed Lustre, ainsi que le rôle d'éditeur de base :
| Capacité | Éditeur (roles/editor) |
Managed Lustre (roles/lustre.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| Créer des instances | |||
| Supprimer des instances | |||
| Mettre à jour des instances | |||
| Obtenir des instances | |||
| Répertorier des instances | |||
| Importer/exporter des données depuis/vers Cloud Storage | |||
| Obtenir un emplacement | |||
| Répertorier les emplacements compatibles | |||
| Répertorier les opérations de longue durée | |||
| Obtenir une opération | |||
| Annuler une opération | |||
| Supprimer une opération | |||
Rôles personnalisés
Si les rôles prédéfinis disponibles ne répondent pas aux exigences d'accès de votre organisation, vous pouvez créer et appliquer des rôles IAM personnalisés.
Lorsque vous créez des rôles personnalisés, nous vous recommandons d'utiliser une combinaison de rôles prédéfinis pour vous assurer que les autorisations appropriées sont incluses.
Autorisations supplémentaires requises Google Cloud
En plus des lustre autorisations, certaines Google Cloud
autorisations sont requises pour effectuer des tâches spécifiques.
| Tâche | Autorisation |
|---|---|
| Créer un réseau VPC | Consultez la section Autorisations requises de Configurer un réseau VPC |
| Importer depuis Cloud Storage | Le compte de service Managed Lustre nécessite roles/storage.admin sur le bucket source.
Pour obtenir des instructions, consultez la section Autorisations requises de
Transférer des données vers ou depuis Cloud Storage. |
| Exporter vers Cloud Storage | Le compte de service Managed Lustre nécessite roles/storage.admin sur le bucket de destination.
Pour obtenir des instructions, consultez la section Autorisations requises de
Transférer des données vers ou depuis Cloud Storage. |
| Créer des VM Compute Engine | Administrateur d'instances Compute (v1)
(roles/compute.instanceAdmin.v1)
Pour en savoir plus, consultez la
documentation Compute Engine. |
| Créer et gérer des clusters Google Kubernetes Engine | Administrateur de conteneurs
(roles/container.admin)
Pour en savoir plus, consultez la documentation Google Kubernetes Engine. |