Cette page a été traduite par l'API Cloud Translation.

Préparation des autorisations IAM

Avant d'effectuer des tâches sur des machines virtuelles (VM) dans Google Distributed Cloud (GDC) air-gapped, vous devez disposer des rôles et autorisations IAM (Identity and Access Management) appropriés.

Avant de commencer

Pour utiliser les commandes gdcloud CLI, suivez les étapes requises dans les sections Interface de ligne de commande (CLI) gdcloud. Toutes les commandes pour Google Distributed Cloud air-gapped utilisent les CLI gdcloud ou kubectl et nécessitent un environnement de système d'exploitation (OS).

Obtenir le chemin d'accès au fichier kubeconfig

Pour exécuter des commandes sur le serveur de l'API Management, assurez-vous de disposer des ressources suivantes :

Connectez-vous et générez le fichier kubeconfig pour le serveur d'API Management si vous n'en avez pas.
Utilisez le chemin d'accès au fichier kubeconfig du serveur de l'API Management pour remplacer MANAGEMENT_API_SERVER dans ces instructions.

À propos de Cloud IAM

Distributed Cloud propose Identity and Access Management (IAM) pour un accès précis à des ressources Distributed Cloud spécifiques et empêche tout accès non souhaité à d'autres ressources. IAM fonctionne selon le principe de sécurité du moindre privilège et permet de contrôler qui est autorisé à accéder à des ressources spécifiques à l'aide de rôles et d'autorisations IAM.

Consultez la documentation IAM dans Se connecter, qui fournit des instructions pour vous connecter à la console GDC ou à la CLI gdcloud et utiliser kubectl pour accéder à vos charges de travail.

Rôles prédéfinis pour les ressources de VM

Pour créer des VM et des disques de VM dans un projet, demandez les autorisations appropriées à l'administrateur IAM du projet concerné. Tous les rôles de VM doivent être associés à l'espace de noms du projet dans lequel réside la VM. Pour gérer les machines virtuelles, votre administrateur IAM de projet peut vous attribuer les rôles prédéfinis suivants :

Administrateur VirtualMachine du projet project-vm-admin : gère les VM dans l'espace de noms du projet.
Administrateur d'images de VM du projet project-vm-image-admin : gère les images de VM dans l'espace de noms du projet.

Pour obtenir la liste de tous les rôles prédéfinis pour les opérateurs d'application (AO), consultez Descriptions des rôles.

Voici les rôles courants prédéfinis pour les VM. Pour en savoir plus sur les rôles courants, consultez Rôles courants.

Lecteur de types de VM vm-type-viewer : dispose d'un accès en lecture aux types de VM prédéfinis.
Lecteur d'images publiques public-image-viewer : dispose d'un accès en lecture aux images fournies par GDC.

Pour accorder ou recevoir l'accès aux ressources de VM, consultez Accorder l'accès aux ressources du projet.

Vérifier l'accès des utilisateurs aux ressources de VM

Connectez-vous en tant qu'utilisateur demandant ou vérifiant les autorisations.
Vérifiez si vous ou l'utilisateur pouvez créer des machines virtuelles :
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Remplacez les variables en utilisant les définitions suivantes.

Variable Remplacement

MANAGEMENT_API_SERVER Fichier kubeconfig du système à partir de gdcloud auth login.

PROJECT Nom du projet permettant de créer des images de VM.
- Si le résultat est yes, vous disposez des autorisations nécessaires pour créer une VM dans le projet PROJECT.
- Si le résultat est no, cela signifie que vous ne disposez pas des autorisations nécessaires. Contactez votre administrateur IAM de projet et demandez-lui de vous attribuer le rôle Administrateur de VirtualMachine de projet (project-vm-admin) dans l'espace de noms du projet dans lequel réside la VM.
Facultatif : Vérifiez si les utilisateurs ont accès aux images de VM au niveau du projet. Par exemple, exécutez les commandes suivantes pour vérifier s'ils peuvent créer et utiliser des ressources VirtualMachineImage au niveau du projet :
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Remplacez les variables en utilisant les définitions suivantes.

Variable Remplacement

MANAGEMENT_API_SERVER Fichier kubeconfig du serveur de l'API Management.

PROJECT Nom du projet dans lequel les images de VM sont créées.
- Si le résultat est yes, l'utilisateur est autorisé à accéder aux images de VM personnalisées dans le projet PROJECT.
- Si le résultat est no, cela signifie que vous ne disposez pas des autorisations nécessaires. Contactez votre administrateur IAM de projet et demandez-lui de vous attribuer le rôle Administrateur d'images de VM de projet (project-vm-image-admin) dans l'espace de noms du projet dans lequel réside la VM.

Variable	Remplacement
`MANAGEMENT_API_SERVER`	Fichier kubeconfig du système à partir de `gdcloud auth login`.
`PROJECT`	Nom du projet permettant de créer des images de VM.

Variable	Remplacement
`MANAGEMENT_API_SERVER`	Fichier kubeconfig du serveur de l'API Management.
`PROJECT`	Nom du projet dans lequel les images de VM sont créées.

Préparation des autorisations IAM Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.