Sie gewähren Zugriff auf Google Cloud Managed Lustre-Vorgänge, indem Sie Nutzern IAM-Rollen (Identity and Access Management) zuweisen.
IAM-Berechtigungen steuern nur den Zugriff auf Google Cloud Managed Lustre-Vorgänge, z. B. das Erstellen einer Google Cloud Managed Lustre-Instanz. Verwenden Sie POSIX-Dateiberechtigungen, um den Zugriff auf Dateisystemvorgänge in der Instanz zu steuern, z. B. das Lesen oder Schreiben in eine Datei.
Berechtigungen und Rollen
Managed Lustre verwendet die folgenden Berechtigungen:
| Berechtigung | Beschreibung |
|---|---|
lustre.instances.create |
Neue Instanzen erstellen |
lustre.instances.delete |
Instanzen löschen |
lustre.instances.update |
Instanzen aktualisieren Löschen ist nicht zulässig |
lustre.instances.get |
Instanzen beschreiben |
lustre.instances.list |
Alle Instanzen auflisten |
lustre.instances.exportData
|
Daten aus Managed Lustre nach Cloud Storage exportieren |
lustre.instances.importData
|
Daten aus Cloud Storage nach Managed Lustre importieren |
lustre.locations.get |
Standort abrufen |
lustre.locations.list |
Alle unterstützten Standorte auflisten |
lustre.operations.list |
Vorgänge auflisten |
lustre.operations.get |
Einen Vorgang abrufen |
lustre.operations.cancel |
Vorgang abbrechen |
lustre.operations.delete |
Vorgang löschen |
Google Cloud unterstützt das direkte Gewähren einzelner Berechtigungen nicht. Sie müssen eine Rolle gewähren, die Berechtigungen enthält. Die vordefinierten Rollen von Managed Lustre sind:
- Managed Lustre-Administrator (
roles/lustre.admin) - Managed Lustre-Betrachter (
roles/lustre.viewer)
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die von den vordefinierten Rollen für Managed Lustre sowie von der grundlegenden Rolle „Bearbeiter“ gewährt werden:
| Funktion | Bearbeiter (roles/editor) |
Managed Lustre (roles/lustre.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| Instanzen erstellen | |||
| Instanzen löschen | |||
| Instanzen aktualisieren | |||
| Instanzen abrufen | |||
| Instanzen auflisten | |||
| Daten aus/in Cloud Storage importieren/exportieren | |||
| Standort abrufen | |||
| Unterstützte Standorte auflisten | |||
| Lange laufende Vorgänge auflisten | |||
| Einen Vorgang abrufen | |||
| Vorgang abbrechen | |||
| Vorgang löschen | |||
Benutzerdefinierte Rollen
Beim Erstellen von benutzerdefinierten Rollen empfehlen wir eine Kombination aus vordefinierten Rollen, damit die richtigen Berechtigungen enthalten sind.
Zusätzliche erforderliche Google Cloud Berechtigungen
Neben den lustre-Berechtigungen sind einige Google Cloud
Berechtigungen erforderlich, um bestimmte Aufgaben auszuführen.
| Aufgabe | Berechtigung |
|---|---|
| VPC-Netzwerk erstellen | Weitere Informationen finden Sie im Abschnitt Erforderliche Berechtigungen unter VPC-Netzwerk konfigurieren |
| Aus Cloud Storage importieren | Für das Managed Lustre-Dienstkonto ist die Rolle roles/storage.admin für den Quell-Bucket erforderlich.
Eine Anleitung finden Sie im Abschnitt Erforderliche Berechtigungen unter
Daten zu oder von Cloud Storage übertragen. |
| Nach Cloud Storage exportieren | Für das Managed Lustre-Dienstkonto ist die Rolle roles/storage.admin für den Ziel-Bucket erforderlich.
Eine Anleitung finden Sie im Abschnitt Erforderliche Berechtigungen unter
Daten zu oder von Cloud Storage übertragen. |
| Compute Engine-VMs erstellen | Compute-Instanzadministrator (Version 1)
(roles/compute.instanceAdmin.v1)
Weitere Informationen finden Sie in der
Compute Engine-Dokumentation. |
| Google Kubernetes Engine-Cluster erstellen und verwalten | Containeradministrator
(roles/container.admin)
Weitere Informationen finden Sie in der Google Kubernetes Engine-Dokumentation. |