Persiapan izin IAM

Sebelum melakukan tugas di virtual machine (VM) dalam Google Distributed Cloud (GDC) yang terisolasi, Anda harus memiliki peran dan izin (IAM) identitas dan akses yang tepat.

Sebelum memulai

Untuk menggunakan perintah gdcloud CLI, selesaikan langkah-langkah yang diperlukan dari bagian antarmuka command line (CLI) gdcloud. Semua perintah untuk penggunaan Google Distributed Cloud air-gapped menggunakan CLI gdcloud atau kubectl, dan memerlukan lingkungan sistem operasi (OS).

Mendapatkan jalur file kubeconfig

Untuk menjalankan perintah terhadap server Management API, pastikan Anda memiliki resource berikut:

  1. Login dan buat file kubeconfig untuk server Management API jika Anda belum memilikinya.

  2. Gunakan jalur ke file kubeconfig server Management API untuk menggantikan MANAGEMENT_API_SERVER dalam petunjuk ini.

Tentang IAM

Distributed Cloud menawarkan Identity and Access Management (IAM) untuk akses terperinci ke resource Distributed Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM beroperasi berdasarkan prinsip keamanan hak istimewa terendah dan memberikan kontrol atas siapa yang memiliki izin untuk mengakses resource tertentu menggunakan peran dan izin IAM.

Baca dokumentasi IAM di bagian Login, yang memberikan petunjuk untuk login ke konsol GDC atau gdcloud CLI dan menggunakan kubectl untuk mengakses beban kerja Anda.

Peran bawaan untuk resource VM

Untuk membuat VM dan disk VM dalam project, minta izin yang sesuai dari Admin IAM Project Anda untuk project tertentu. Semua peran VM harus terikat ke namespace project tempat VM berada. Untuk mengelola virtual machine, Admin IAM Project Anda dapat memberi Anda peran bawaan berikut:

  • Project VirtualMachine Admin project-vm-admin: Mengelola VM di namespace project.
  • Project VirtualMachine Image Admin project-vm-image-admin: Mengelola image VM di namespace project.

Untuk mengetahui daftar semua peran bawaan untuk Operator Aplikasi (AO), lihat Deskripsi peran.

Berikut adalah peran umum bawaan untuk VM. Untuk mengetahui detail tentang peran umum, lihat Peran umum.

  • Pelihat jenis VM vm-type-viewer: memiliki akses baca ke jenis VM bawaan.
  • Penampil gambar publik public-image-viewer: memiliki akses baca ke gambar yang disediakan GDC.

Untuk memberikan atau menerima akses ke resource VM, lihat Memberikan akses ke resource project.

Memverifikasi akses pengguna ke resource VM

  1. Login sebagai pengguna yang meminta atau memverifikasi izin.

  2. Verifikasi apakah Anda, atau pengguna, dapat membuat mesin virtual:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT

    Ganti variabel dengan menggunakan definisi berikut.

    Variabel Penggantian
    MANAGEMENT_API_SERVER File kubeconfig sistem dari gdcloud auth login.
    PROJECT Nama project untuk membuat image VM.
    • Jika outputnya adalah yes, Anda memiliki izin untuk membuat VM di project PROJECT.
    • Jika outputnya adalah no, berarti Anda tidak memiliki izin. Hubungi Admin IAM Project Anda dan minta penetapan ke peran Project VirtualMachine Admin (project-vm-admin) di namespace project tempat VM berada.

  3. Opsional: Verifikasi apakah pengguna memiliki akses ke image VM tingkat project. Misalnya, jalankan perintah berikut untuk memverifikasi apakah mereka dapat membuat dan menggunakan resource VirtualMachineImage di tingkat project:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT

    Ganti variabel dengan menggunakan definisi berikut.

    Variabel Penggantian
    MANAGEMENT_API_SERVER File kubeconfig server Management API.
    PROJECT Nama project tempat image VM dibuat.
    • Jika outputnya adalah yes, pengguna memiliki izin untuk mengakses image VM kustom di project PROJECT.
    • Jika outputnya adalah no, berarti Anda tidak memiliki izin. Hubungi peran Project IAM Admin Anda dan minta penetapan ke peran Project VirtualMachine Image Admin (project-vm-image-admin) di namespace project tempat VM berada.