Se usó la API de Cloud Translation para traducir esta página.

Preparación de permisos de IAM

Antes de realizar tareas en máquinas virtuales (VM) en Google Distributed Cloud (GDC) aislado, debes tener los roles y permisos adecuados de Identity and Access Management (IAM).

Antes de comenzar

Para usar los comandos de la CLI de gdcloud, completa los pasos necesarios de las secciones de la interfaz de línea de comandos (CLI) de gdcloud. Todos los comandos para Google Distributed Cloud con aislamiento de aire usan las CLI de gdcloud o kubectl y requieren un entorno de sistema operativo (SO).

Obtén la ruta de acceso del archivo kubeconfig

Para ejecutar comandos en el servidor de la API de Management, asegúrate de tener los siguientes recursos:

Accede y genera el archivo kubeconfig para el servidor de la API de Management si no tienes uno.
Usa la ruta de acceso al archivo kubeconfig del servidor de la API de administración para reemplazar MANAGEMENT_API_SERVER en estas instrucciones.

Acerca de IAM

Distributed Cloud ofrece Identity and Access Management (IAM) para brindar acceso detallado a recursos específicos de Distributed Cloud y evitar el acceso no deseado a otros recursos. IAM opera según el principio de seguridad de privilegio mínimo y proporciona control sobre quién tiene permiso para acceder a recursos determinados a través de roles y permisos de IAM.

Lee la documentación de IAM en Acceder, que proporciona instrucciones para acceder a la consola de GDC o a la CLI de gdcloud y usar kubectl para acceder a tus cargas de trabajo.

Roles predefinidos para recursos de VM

Para crear VMs y discos de VM en un proyecto, solicita los permisos correspondientes al administrador de IAM del proyecto. Todos los roles de VM deben vincularse al espacio de nombres del proyecto en el que reside la VM. Para administrar máquinas virtuales, el administrador de IAM del proyecto puede asignarte los siguientes roles predefinidos:

Administrador de VirtualMachine del proyecto project-vm-admin: Administra las VMs en el espacio de nombres del proyecto.
Project VirtualMachine Image Admin project-vm-image-admin: Administra imágenes de VM en el espacio de nombres del proyecto.

Para obtener una lista de todos los roles predefinidos para los operadores de aplicaciones (AO), consulta Descripciones de roles.

A continuación, se indican los roles comunes predefinidos para las VMs. Para obtener detalles sobre los roles comunes, consulta Roles comunes.

Visualizador de tipos de VM vm-type-viewer: Tiene acceso de lectura a los tipos de VM predefinidos.
Visualizador de imágenes públicas public-image-viewer: Tiene acceso de lectura a las imágenes que proporciona GDC.

Para otorgar o recibir acceso a los recursos de la VM, consulta Otorga acceso a los recursos del proyecto.

Verifica el acceso del usuario a los recursos de la VM

Inicia sesión como el usuario que solicita o verifica los permisos.
Verifica si tú o el usuario pueden crear máquinas virtuales:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Reemplaza las variables con las siguientes definiciones.

Variable Reemplazo

MANAGEMENT_API_SERVER El archivo kubeconfig del sistema de gdcloud auth login.

PROJECT Es el nombre del proyecto para crear imágenes de VM.
- Si el resultado es yes, tienes permiso para crear una VM en el proyecto PROJECT.
- Si el resultado es no, significa que no tienes permisos. Comunícate con el administrador de IAM del proyecto y solicita que te asigne el rol de administrador de máquinas virtuales del proyecto (project-vm-admin) en el espacio de nombres del proyecto en el que reside la VM.
Opcional: Verifica si los usuarios tienen acceso a imágenes de VM a nivel del proyecto. Por ejemplo, ejecuta los siguientes comandos para verificar si pueden crear y usar recursos VirtualMachineImage a nivel del proyecto:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Reemplaza las variables con las siguientes definiciones.

Variable Reemplazo

MANAGEMENT_API_SERVER Es el archivo kubeconfig del servidor de la API de Management.

PROJECT Nombre del proyecto en el que se crean las imágenes de VM.
- Si el resultado es yes, el usuario tiene permisos para acceder a imágenes de VM personalizadas en el proyecto PROJECT.
- Si el resultado es no, significa que no tienes permisos. Comunícate con tu administrador de IAM del proyecto y solicita que se te asigne el rol de administrador de imágenes de máquinas virtuales del proyecto (project-vm-image-admin) en el espacio de nombres del proyecto en el que reside la VM.

Variable	Reemplazo
`MANAGEMENT_API_SERVER`	El archivo kubeconfig del sistema de `gdcloud auth login`.
`PROJECT`	Es el nombre del proyecto para crear imágenes de VM.

Variable	Reemplazo
`MANAGEMENT_API_SERVER`	Es el archivo kubeconfig del servidor de la API de Management.
`PROJECT`	Nombre del proyecto en el que se crean las imágenes de VM.

Preparación de permisos de IAM Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.