Sie gewähren Zugriff auf Google Cloud Managed Lustre-Vorgänge, indem Sie Nutzern IAM-Rollen (Identity and Access Management) zuweisen.
IAM-Berechtigungen steuern nur den Zugriff auf Google Cloud Managed Lustre-Vorgänge, z. B. das Erstellen einer Google Cloud Managed Lustre-Instanz. Verwenden Sie POSIX-Dateiberechtigungen, um den Zugriff auf Dateisystemvorgänge in der Instanz zu steuern, z. B. das Lesen oder Schreiben in eine Datei.
Berechtigungen und Rollen
Managed Lustre verwendet die folgenden Berechtigungen:
| Berechtigung | Beschreibung |
|---|---|
lustre.instances.create |
Neue Instanzen erstellen |
lustre.instances.delete |
Instanzen löschen |
lustre.instances.update |
Instanzen aktualisieren. Löschen nicht zulassen |
lustre.instances.get |
Instanzen beschreiben |
lustre.instances.list |
Alle Instanzen auflisten |
lustre.instances.exportData
|
Daten aus Managed Lustre in Cloud Storage exportieren |
lustre.instances.importData
|
Daten aus Cloud Storage in Managed Lustre importieren |
lustre.locations.get |
Standort abrufen |
lustre.locations.list |
Alle unterstützten Standorte auflisten |
lustre.operations.list |
Vorgänge auflisten |
lustre.operations.get |
Einen Vorgang abrufen |
lustre.operations.cancel |
Vorgang abbrechen |
lustre.operations.delete |
Vorgang löschen |
InGoogle Cloud können keine einzelnen Berechtigungen direkt gewährt werden. Sie müssen eine Rolle mit Berechtigungen gewähren. Die vordefinierten Rollen von Managed Lustre sind:
- Managed Lustre-Administrator (
roles/lustre.admin) - Managed Lustre Viewer (
roles/lustre.viewer)
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die durch die vordefinierten Rollen für Managed Lustre sowie die einfache Rolle „Bearbeiter“ gewährt werden:
| Leistungsvermögen | Bearbeiter (roles/editor) |
Managed Lustre (roles/lustre.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| Instanzen erstellen | |||
| Instanzen löschen | |||
| Instanzen aktualisieren | |||
| Instanzen abrufen | |||
| Instanzen auflisten | |||
| Daten aus Cloud Storage importieren/in Cloud Storage exportieren | |||
| Standort abrufen | |||
| Unterstützte Standorte auflisten | |||
| Vorgänge mit langer Ausführungszeit auflisten | |||
| Einen Vorgang abrufen | |||
| Vorgang abbrechen | |||
| Vorgang löschen | |||
Benutzerdefinierte Rollen
Wenn die verfügbaren vordefinierten Rollen nicht den Zugriffsanforderungen Ihrer Organisation entsprechen, können Sie benutzerdefinierte IAM-Rollen erstellen und anwenden.
Beim Erstellen benutzerdefinierter Rollen empfehlen wir eine Kombination aus vordefinierten Rollen, damit die richtigen Berechtigungen enthalten sind.
Zusätzliche erforderliche Google Cloud Berechtigungen
Zusätzlich zu den lustre-Berechtigungen sind einige Google Cloud-Berechtigungen erforderlich, um bestimmte Aufgaben auszuführen.
| Aufgabe | Berechtigung |
|---|---|
| VPC-Netzwerk erstellen | Weitere Informationen finden Sie im Abschnitt Erforderliche Berechtigungen unter VPC-Netzwerk konfigurieren. |
| Aus Cloud Storage importieren | Das Dienstkonto für den verwalteten Lustre-Dienst benötigt roles/storage.admin für den Quell-Bucket.
Eine Anleitung finden Sie im Abschnitt Erforderliche Berechtigungen unter Daten in oder aus Cloud Storage übertragen. |
| Nach Cloud Storage exportieren | Das Managed Lustre-Dienstkonto erfordert roles/storage.admin für den Ziel-Bucket.
Eine Anleitung finden Sie im Abschnitt Erforderliche Berechtigungen unter Daten in oder aus Cloud Storage übertragen. |
| Compute Engine-VMs erstellen | Compute-Instanzadministrator (Version 1)
(roles/compute.instanceAdmin.v1)
Weitere Informationen finden Sie in der Compute Engine-Dokumentation. |
| Google Kubernetes Engine-Cluster erstellen und verwalten | Container-Administrator
(roles/container.admin)
Weitere Informationen finden Sie in der Google Kubernetes Engine-Dokumentation. |