Google Cloud Managed Lustre オペレーションへのアクセス権を付与するには、ユーザーに Identity and Access Management(IAM)ロールを付与します。
IAM の権限は、Google Cloud Managed Lustre インスタンスの作成など、Google Cloud Managed Lustre オペレーションへのアクセス権のみを制御します。ファイルへの読み取りや書き込みなど、インスタンスのファイル システム オペレーションへのアクセスを制御するには、POSIX ファイル権限を使用します。
権限とロール
Managed Lustre では次の権限を使用します。
| 権限 | 説明 |
|---|---|
lustre.instances.create |
新しいインスタンスを作成する |
lustre.instances.delete |
インスタンスの削除 |
lustre.instances.update |
インスタンスを更新します。削除を許可しない |
lustre.instances.get |
インスタンスの説明を取得する |
lustre.instances.list |
すべてのインスタンスのリスト |
lustre.instances.exportData
|
Managed Lustre から Cloud Storage にデータをエクスポートする |
lustre.instances.importData
|
Cloud Storage から Managed Lustre にデータをインポートする |
lustre.locations.get |
位置情報を取得する |
lustre.locations.list |
サポートされているすべてのロケーションを一覧表示する |
lustre.operations.list |
処理の一覧を表示します |
lustre.operations.get |
オペレーションを取得する |
lustre.operations.cancel |
オペレーションのキャンセル |
lustre.operations.delete |
オペレーションを削除する |
Google Cloud は、個々の権限の直接付与をサポートしていません。権限を含むロールを付与する必要があります。Managed Lustre の事前定義ロールは次のとおりです。
- Managed Lustre 管理者(
roles/lustre.admin) - Managed Lustre 閲覧者(
roles/lustre.viewer)
次の表に、Managed Lustre の事前定義ロールと基本の編集者ロールによって付与される権限を示します。
| 能力 | 編集者(roles/editor) |
Managed Lustre(roles/lustre.*) |
|
|---|---|---|---|
admin |
viewer |
||
| インスタンスの作成 | |||
| インスタンスの削除 | |||
| インスタンスの更新 | |||
| インスタンスを取得する | |||
| インスタンスを確認する | |||
| Cloud Storage との間でデータをインポート / エクスポートする | |||
| 位置情報を取得する | |||
| サポートされているロケーションを一覧表示する | |||
| 長時間実行オペレーションを一覧表示する | |||
| オペレーションを取得する | |||
| オペレーションのキャンセル | |||
| オペレーションを削除する | |||
カスタムロール
使用可能な事前定義ロールが組織のアクセス要件を満たしていない場合は、カスタム IAM ロールを作成して適用できます。
カスタムロールを作成する場合は、適切な権限が含まれるように事前定義ロールを組み合わせて使用することをおすすめします。
必要な追加の Google Cloud 権限
lustre 権限に加えて、特定のタスクを完了するために必要な Google Cloud権限もあります。
| タスク | 権限 |
|---|---|
| VPC ネットワークを作成する | VPC ネットワークを構成するの必要な権限セクションをご覧ください。 |
| Cloud Storage からインポート | Managed Lustre サービス アカウントには、ソースバケットに対する roles/storage.admin が必要です。手順については、Cloud Storage との間でデータを転送するの必要な権限セクションをご覧ください。 |
| Cloud Storage にエクスポートする | Managed Lustre サービス アカウントには、宛先バケットに対する roles/storage.admin が必要です。手順については、Cloud Storage との間でデータを転送するの必要な権限セクションをご覧ください。 |
| Compute Engine VM を作成する | Compute インスタンス管理者(v1)。(roles/compute.instanceAdmin.v1)
詳細については、Compute Engine のドキュメントをご覧ください。 |
| Google Kubernetes Engine クラスタを作成して管理する | コンテナ管理者。(roles/container.admin)
詳細については、Google Kubernetes Engine のドキュメントをご覧ください。 |