Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Berechtigungen vorbereiten

Bevor Sie Aufgaben auf virtuellen Maschinen (VMs) in Google Distributed Cloud (GDC) Air-Gapped ausführen, müssen Sie die entsprechenden IAM-Rollen und -Berechtigungen haben.

Hinweise

Wenn Sie gdcloud-CLI-Befehle verwenden möchten, führen Sie die erforderlichen Schritte aus den Abschnitten zur gdcloud-Befehlszeile aus. Für alle Befehle für Google Distributed Cloud Air-Gapped wird die CLI gdcloud oder kubectl verwendet und es ist eine Betriebssystemumgebung erforderlich.

Pfad der kubeconfig-Datei abrufen

Damit Sie Befehle für den Management API-Server ausführen können, benötigen Sie die folgenden Ressourcen:

Melden Sie sich an und generieren Sie die kubeconfig-Datei für den Management API-Server, falls Sie noch keine haben.
Verwenden Sie den Pfad zur kubeconfig-Datei des Management API-Servers, um MANAGEMENT_API_SERVER in dieser Anleitung zu ersetzen.

Informationen zu IAM

Distributed Cloud bietet Identity and Access Management (IAM) für detaillierten Zugriff auf bestimmte Distributed Cloud-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und bietet mithilfe von IAM-Rollen und ‑Berechtigungen die Möglichkeit, zu steuern, wer die Berechtigung für bestimmte Ressourcen hat.

Lesen Sie die IAM-Dokumentation unter Anmelden. Dort finden Sie eine Anleitung zum Anmelden in der GDC Console oder der gdcloud CLI und zum Verwenden von kubectl für den Zugriff auf Ihre Arbeitslasten.

Vordefinierte Rollen für VM-Ressourcen

Wenn Sie VMs und VM-Laufwerke in einem Projekt erstellen möchten, fordern Sie die entsprechenden Berechtigungen für das jeweilige Projekt von Ihrem Projekt-IAM-Administrator an. Alle VM-Rollen müssen an den Namespace des Projekts gebunden sein, in dem sich die VM befindet. Um virtuelle Maschinen zu verwalten, kann Ihr Projekt-IAM-Administrator Ihnen die folgenden vordefinierten Rollen zuweisen:

Project VirtualMachine Admin project-vm-admin: Verwaltet VMs im Projekt-Namespace.
Project VirtualMachine Image Admin project-vm-image-admin: Verwaltet VM-Images im Projekt-Namespace.

Eine Liste aller vordefinierten Rollen für Anwendungsoperatoren (AO) finden Sie unter Rollenbeschreibungen.

Im Folgenden finden Sie vordefinierte allgemeine Rollen für VMs. Weitere Informationen zu gängigen Rollen finden Sie unter Gängige Rollen.

VM-Typ-Betrachter vm-type-viewer: hat Lesezugriff auf vordefinierte VM-Typen.
Public Image Viewer public-image-viewer: Hat Lesezugriff auf Bilder, die von GDC bereitgestellt werden.

Informationen zum Gewähren oder Erhalten des Zugriffs auf VM-Ressourcen finden Sie unter Zugriff auf Projektressourcen gewähren.

Nutzerzugriff auf VM-Ressourcen bestätigen

Melden Sie sich als der Nutzer an, der Berechtigungen anfordert oder bestätigt.
Prüfen Sie, ob Sie oder der Nutzer virtuelle Maschinen erstellen können:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Ersetzen Sie die Variablen durch die folgenden Definitionen.

Variable Ersetzen

MANAGEMENT_API_SERVER Die kubeconfig-Datei des Systems aus gdcloud auth login.

PROJECT Der Projektname zum Erstellen von VM-Images.
- Wenn die Ausgabe yes lautet, haben Sie die Berechtigung, eine VM im Projekt PROJECT zu erstellen.
- Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und bitten Sie ihn, Ihnen die Rolle „Project VirtualMachine Admin“ (project-vm-admin) im Namespace des Projekts zuzuweisen, in dem sich die VM befindet.
Optional: Prüfen Sie, ob Nutzer Zugriff auf VM-Images auf Projektebene haben. Führen Sie beispielsweise die folgenden Befehle aus, um zu prüfen, ob sie VirtualMachineImage-Ressourcen auf Projektebene erstellen und verwenden können:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Ersetzen Sie die Variablen durch die folgenden Definitionen.

Variable Ersetzen

MANAGEMENT_API_SERVER Die kubeconfig-Datei des Management API-Servers.

PROJECT Der Projektname, in dem VM-Images erstellt werden.
- Wenn die Ausgabe yes ist, hat der Nutzer die Berechtigungen für den Zugriff auf benutzerdefinierte VM-Images im Projekt PROJECT.
- Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und bitten Sie ihn, Ihnen die Rolle „Project VirtualMachine Image Admin“ (project-vm-image-admin) im Namespace des Projekts zuzuweisen, in dem sich die VM befindet.

Variable	Ersetzen
`MANAGEMENT_API_SERVER`	Die kubeconfig-Datei des Systems aus `gdcloud auth login`.
`PROJECT`	Der Projektname zum Erstellen von VM-Images.

Variable	Ersetzen
`MANAGEMENT_API_SERVER`	Die kubeconfig-Datei des Management API-Servers.
`PROJECT`	Der Projektname, in dem VM-Images erstellt werden.

IAM-Berechtigungen vorbereiten Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.