Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Bevor Sie Aufgaben auf virtuellen Maschinen (VMs) in Google Distributed Cloud (GDC) Air-Gapped ausführen, müssen Sie die entsprechenden IAM-Rollen und -Berechtigungen haben.
Hinweise
Wenn Sie gdcloud-CLI-Befehle verwenden möchten, führen Sie die erforderlichen Schritte aus den Abschnitten zur gdcloud-Befehlszeile aus. Für alle Befehle für Google Distributed Cloud Air-Gapped wird die CLI gdcloud oder kubectl verwendet und es ist eine Betriebssystemumgebung erforderlich.
Pfad der kubeconfig-Datei abrufen
Damit Sie Befehle für den Management API-Server ausführen können, benötigen Sie die folgenden Ressourcen:
Verwenden Sie den Pfad zur kubeconfig-Datei des Management API-Servers, um MANAGEMENT_API_SERVER in dieser Anleitung zu ersetzen.
Informationen zu IAM
Distributed Cloud bietet Identity and Access Management (IAM) für detaillierten Zugriff auf bestimmte Distributed Cloud-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und bietet mithilfe von IAM-Rollen und ‑Berechtigungen die Möglichkeit, zu steuern, wer die Berechtigung für bestimmte Ressourcen hat.
Lesen Sie die IAM-Dokumentation unter Anmelden. Dort finden Sie eine Anleitung zum Anmelden in der GDC Console oder der gdcloud CLI und zum Verwenden von kubectl für den Zugriff auf Ihre Arbeitslasten.
Vordefinierte Rollen für VM-Ressourcen
Wenn Sie VMs und VM-Laufwerke in einem Projekt erstellen möchten, fordern Sie die entsprechenden Berechtigungen für das jeweilige Projekt von Ihrem Projekt-IAM-Administrator an. Alle VM-Rollen müssen an den Namespace des Projekts gebunden sein, in dem sich die VM befindet. Um virtuelle Maschinen zu verwalten, kann Ihr Projekt-IAM-Administrator Ihnen die folgenden vordefinierten Rollen zuweisen:
Project VirtualMachine Adminproject-vm-admin: Verwaltet VMs im Projekt-Namespace.
Project VirtualMachine Image Adminproject-vm-image-admin: Verwaltet VM-Images im Projekt-Namespace.
Eine Liste aller vordefinierten Rollen für Anwendungsoperatoren (AO) finden Sie unter Rollenbeschreibungen.
Im Folgenden finden Sie vordefinierte allgemeine Rollen für VMs. Weitere Informationen zu gängigen Rollen finden Sie unter Gängige Rollen.
VM-Typ-Betrachtervm-type-viewer: hat Lesezugriff auf vordefinierte VM-Typen.
Public Image Viewerpublic-image-viewer: Hat Lesezugriff auf Bilder, die von GDC bereitgestellt werden.
Ersetzen Sie die Variablen durch die folgenden Definitionen.
Variable
Ersetzen
MANAGEMENT_API_SERVER
Die kubeconfig-Datei des Systems aus gdcloud auth login.
PROJECT
Der Projektname zum Erstellen von VM-Images.
Wenn die Ausgabe yes lautet, haben Sie die Berechtigung, eine VM im Projekt PROJECT zu erstellen.
Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und bitten Sie ihn, Ihnen die Rolle „Project VirtualMachine Admin“ (project-vm-admin) im Namespace des Projekts zuzuweisen, in dem sich die VM befindet.
Optional: Prüfen Sie, ob Nutzer Zugriff auf VM-Images auf Projektebene haben. Führen Sie beispielsweise die folgenden Befehle aus, um zu prüfen, ob sie VirtualMachineImage-Ressourcen auf Projektebene erstellen und verwenden können:
Ersetzen Sie die Variablen durch die folgenden Definitionen.
Variable
Ersetzen
MANAGEMENT_API_SERVER
Die kubeconfig-Datei des Management API-Servers.
PROJECT
Der Projektname, in dem VM-Images erstellt werden.
Wenn die Ausgabe yes ist, hat der Nutzer die Berechtigungen für den Zugriff auf benutzerdefinierte VM-Images im Projekt PROJECT.
Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und bitten Sie ihn, Ihnen die Rolle „Project VirtualMachine Image Admin“ (project-vm-image-admin) im Namespace des Projekts zuzuweisen, in dem sich die VM befindet.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[[["\u003cp\u003eProper Identity and Access Management (IAM) roles and permissions are required before performing tasks on virtual machines (VMs) in Google Distributed Cloud (GDC) air-gapped.\u003c/p\u003e\n"],["\u003cp\u003eTo manage virtual machines in a project, a Project IAM Admin can assign the "Project VirtualMachine Admin" role, while managing VM images require the "Project VirtualMachine Image Admin" role.\u003c/p\u003e\n"],["\u003cp\u003eUsers can verify their permissions to create VMs or access VM images within a specific project using \u003ccode\u003ekubectl\u003c/code\u003e commands and checking for a "yes" or "no" output.\u003c/p\u003e\n"],["\u003cp\u003eGDC offers IAM for granular access control to resources, ensuring that only authorized users can access specific resources, adhering to the principle of least privilege.\u003c/p\u003e\n"]]],[],null,["# IAM permissions preparation\n\nBefore you perform tasks on virtual machines (VM) in\nGoogle Distributed Cloud (GDC) air-gapped, you must have the proper identity and access\n(IAM) roles and permissions.\n\nBefore you begin\n----------------\n\nTo use gdcloud CLI commands, complete the required steps from the\n[gdcloud command-line interface (CLI)](/distributed-cloud/hosted/docs/latest/gdch/resources/gdcloud-overview)\nsections. All commands for Google Distributed Cloud air-gapped use the\n`gdcloud` or `kubectl` CLI, and require an operating system (OS) environment.\n\n### Get the kubeconfig file path\n\nTo run commands against the Management API server, ensure you have the following\nresources:\n\n1. [Sign in and generate](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/iam/sign-in#cli) the\n kubeconfig file for the Management API server if you don't have one.\n\n2. Use the path to the kubeconfig file of the Management API server to replace\n \u003cvar translate=\"no\"\u003eMANAGEMENT_API_SERVER\u003c/var\u003e in these instructions.\n\nAbout IAM\n---------\n\nDistributed Cloud offers Identity and Access Management (IAM) for\ngranular access to specific Distributed Cloud resources and prevents\nunwanted access to other resources. IAM operates on the security\nprinciple of least privilege and provides control over who has permission\nto given resources using IAM roles and permissions.\n\nRead the IAM documentation in\n[Sign in](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/iam/sign-in), which provides\ninstructions for signing in to the GDC console or the\ngdcloud CLI and using `kubectl` to access your workloads.\n\n### Predefined roles to VM resources\n\nTo create VMs and VM disks in a project, request the appropriate permissions\nfrom your Project IAM Admin for a given project. All VM roles must bind to the\nnamespace of the project where the VM resides. To manage virtual machines,\nyour Project IAM Admin can assign you the following predefined roles:\n\n- **Project VirtualMachine Admin** `project-vm-admin`: Manages VMs in the project namespace.\n- **Project VirtualMachine Image Admin** `project-vm-image-admin`: Manages VM images in the project namespace.\n\nFor a list of all predefined roles for Application Operators (AO), see\n[Role descriptions](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/iam/role-descriptions).\n\nThe following are predefined common roles for VMs. For details on common roles,\nsee\n[Common roles](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/iam/role-descriptions#common_roles).\n\n- **VM type viewer** `vm-type-viewer`: has read access to predefined VM types.\n- **Public image viewer** `public-image-viewer`: has read access to images GDC provides.\n\nTo grant or receive access to VM resources, see\n[Grant access to project resources](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/iam/role-bindings).\n\nVerify user access to VM resources\n----------------------------------\n\n1. [Log in](/distributed-cloud/hosted/docs/latest/gdch/application/ao-user/iam/sign-in#cli) as the\n user requesting or verifying permissions.\n\n2. Verify whether you, or the user, can create virtual machines:\n\n kubectl --kubeconfig \u003cvar translate=\"no\"\u003eMANAGEMENT_API_SERVER\u003c/var\u003e auth can-i create virtualmachines.virtualmachine.gdc.goog -n \u003cvar translate=\"no\"\u003ePROJECT\u003c/var\u003e\n\n Replace the variables by using the following definitions.\n\n - If the output is `yes`, you have permissions to create a VM in the project \u003cvar translate=\"no\"\u003ePROJECT\u003c/var\u003e.\n - If the output is `no`, you don't have permissions. Contact your Project IAM Admin and request assignment to the Project VirtualMachine Admin (`project-vm-admin`) role in the namespace of the project where the VM resides.\n3. Optional: Verify whether users have access to project-level VM images. For\n example, run the following commands to verify if they can create and use\n `VirtualMachineImage` resources at the project level:\n\n kubectl --kubeconfig \u003cvar translate=\"no\"\u003eMANAGEMENT_API_SERVER\u003c/var\u003e auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n \u003cvar translate=\"no\"\u003ePROJECT\u003c/var\u003e\n\n kubectl --kubeconfig \u003cvar translate=\"no\"\u003eMANAGEMENT_API_SERVER\u003c/var\u003e auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n \u003cvar translate=\"no\"\u003ePROJECT\u003c/var\u003e\n\n Replace the variables by using the following definitions.\n\n - If the output is `yes`, the user has permissions to access custom VM images in the project \u003cvar translate=\"no\"\u003ePROJECT\u003c/var\u003e.\n - If the output is `no`, you don't have permissions. Contact your Project IAM Admin role and request assignment to the Project VirtualMachine Image Admin (`project-vm-image-admin`) role in the namespace of the project where the VM resides."]]
