Para otorgar acceso a las operaciones de Google Cloud Managed Lustre, asigna funciones de Identity and Access Management (IAM) a los usuarios.
Los permisos de IAM solo controlan el acceso a las operaciones de Google Cloud Managed Lustre, como crear una instancia de Google Cloud Managed Lustre. Para controlar el acceso a las operaciones del sistema de archivos en la instancia, como leer o escribir en un archivo, usa los permisos de archivo POSIX.
Permisos y funciones
Managed Lustre usa los siguientes permisos:
| Permiso | Descripción |
|---|---|
lustre.instances.create |
Crea instancias nuevas |
lustre.instances.delete |
Borra instancias |
lustre.instances.update |
Actualiza instancias. No permite la eliminación |
lustre.instances.get |
Describe instancias |
lustre.instances.list |
Crea una lista de todas las instancias |
lustre.instances.exportData
|
Exporta datos de Managed Lustre a Cloud Storage |
lustre.instances.importData
|
Importa datos de Cloud Storage a Managed Lustre |
lustre.locations.get |
Obtén una ubicación |
lustre.locations.list |
Crea una lista de todas las ubicaciones admitidas |
lustre.operations.list |
Mostrar lista de operaciones |
lustre.operations.get |
Obtener una operación |
lustre.operations.cancel |
Cancela una operación |
lustre.operations.delete |
Borra una operación |
Google Cloud no admite el otorgamiento de permisos individuales directamente; debes otorgar una función que contenga permisos. Las funciones predefinidas de Managed Lustre son las siguientes:
- Administrador de Managed Lustre (
roles/lustre.admin) - Visualizador de Managed Lustre (
roles/lustre.viewer)
En la siguiente tabla, se enumeran los permisos que otorgan las funciones predefinidas para Managed Lustre, así como la función básica de Editor:
| Función | Editor (roles/editor) |
Managed Lustre (roles/lustre.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| Crea instancias | |||
| Borra instancias | |||
| Actualiza instancias | |||
| Obtén instancias | |||
| Crea una lista de instancias | |||
| Importa o exporta datos desde o hacia Cloud Storage | |||
| Obtén una ubicación | |||
| Crea una lista de ubicaciones admitidas | |||
| Enumera las operaciones de larga duración | |||
| Obtén una operación | |||
| Cancela una operación | |||
| Borra una operación | |||
Funciones personalizadas
Si las funciones predefinidas disponibles no satisfacen los requisitos de acceso de tu organización, puedes crear y aplicar funciones personalizadas de IAM.
Cuando crees roles personalizados, te recomendamos usar una combinación de roles predefinidos para garantizar que los permisos correctos se incluyan juntos.
Permisos adicionales obligatorios Google Cloud
Además de los lustre permisos, hay algunos Google Cloud
permisos necesarios para completar tareas específicas.
| Tarea | Permiso |
|---|---|
| Crear red de VPC | Consulta la sección Permisos obligatorios de Configura una red de VPC |
| Importar desde Cloud Storage | La cuenta de servicio de Managed Lustre requiere roles/storage.admin en el bucket de origen.
Consulta la sección Permisos obligatorios de
Transfiere datos hacia o desde Cloud Storage para obtener instrucciones. |
| Exporta a Cloud Storage | La cuenta de servicio de Managed Lustre requiere roles/storage.admin en el bucket de destino.
Consulta la sección Permisos obligatorios de
Transfiere datos hacia o desde Cloud Storage para obtener instrucciones. |
| Crea VMs de Compute Engine | Administrador de instancias de Compute (v1).
(roles/compute.instanceAdmin.v1)
Para obtener más información, consulta la
documentación de Compute Engine. |
| Crea y administra clústeres de Google Kubernetes Engine | Administrador de contenedores.
(roles/container.admin)
Para obtener más información, consulta la documentación de Google Kubernetes Engine. |