Questa pagina è stata tradotta dall'API Cloud Translation.

Preparazione delle autorizzazioni IAM

Prima di eseguire attività sulle macchine virtuali (VM) in Google Distributed Cloud (GDC) air-gapped, devi disporre dei ruoli e delle autorizzazioni di Identity and Access (IAM) corretti.

Prima di iniziare

Per utilizzare i comandi gcloud CLI, completa i passaggi richiesti nelle sezioni Interfaccia a riga di comando (CLI) gcloud. Tutti i comandi per Google Distributed Cloud con air gap utilizzano la CLI gdcloud o kubectl e richiedono un ambiente del sistema operativo.

Recupera il percorso del file kubeconfig

Per eseguire comandi sul server API Management, assicurati di disporre delle seguenti risorse:

Accedi e genera il file kubeconfig per il server API Management se non ne hai uno.
Utilizza il percorso del file kubeconfig del server API Management per sostituire MANAGEMENT_API_SERVER in queste istruzioni.

Informazioni su IAM

Distributed Cloud offre Identity and Access Management (IAM) per l'accesso granulare a risorse Distributed Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM opera in base al principio di sicurezza del privilegio minimo e fornisce il controllo su chi ha l'autorizzazione per determinate risorse utilizzando ruoli e autorizzazioni IAM.

Leggi la documentazione IAM in Accedi, che fornisce istruzioni per accedere alla console GDC o a gcloud CLI e utilizzare kubectl per accedere ai tuoi carichi di lavoro.

Ruoli predefiniti per le risorse VM

Per creare VM e dischi VM in un progetto, richiedi le autorizzazioni appropriate all'amministratore IAM progetto per un determinato progetto. Tutti i ruoli VM devono essere associati allo spazio dei nomi del progetto in cui si trova la VM. Per gestire le macchine virtuali, l'amministratore IAM del progetto può assegnarti i seguenti ruoli predefiniti:

Amministratore VirtualMachine progetto project-vm-admin: gestisce le VM nello spazio dei nomi del progetto.
Project VirtualMachine Image Admin project-vm-image-admin: gestisce le immagini VM nello spazio dei nomi del progetto.

Per un elenco di tutti i ruoli predefiniti per gli operatori delle applicazioni (AO), consulta Descrizioni dei ruoli.

Di seguito sono riportati i ruoli comuni predefiniti per le VM. Per informazioni dettagliate sui ruoli comuni, vedi Ruoli comuni.

Visualizzatore tipi di VM vm-type-viewer: dispone dell'accesso in lettura ai tipi di VM predefiniti.
Visualizzatore immagini pubblico public-image-viewer: ha accesso in lettura alle immagini fornite da GDC.

Per concedere o ricevere l'accesso alle risorse VM, consulta Concedere l'accesso alle risorse del progetto.

Verificare l'accesso degli utenti alle risorse VM

Accedi come utente che richiede o verifica le autorizzazioni.
Verifica se tu o l'utente potete creare macchine virtuali:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Sostituisci le variabili utilizzando le seguenti definizioni.

Variabile Sostituzione

MANAGEMENT_API_SERVER Il file kubeconfig di sistema da gdcloud auth login.

PROJECT Il nome del progetto per creare immagini VM.
- Se l'output è yes, hai le autorizzazioni per creare una VM nel progetto PROJECT.
- Se l'output è no, non disponi delle autorizzazioni. Contatta l'amministratore IAM del progetto e richiedi l'assegnazione al ruolo Amministratore VM progetto (project-vm-admin) nello spazio dei nomi del progetto in cui si trova la VM.
(Facoltativo) Verifica se gli utenti hanno accesso alle immagini VM a livello di progetto. Ad esempio, esegui i seguenti comandi per verificare se possono creare e utilizzare risorse VirtualMachineImage a livello di progetto:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Sostituisci le variabili utilizzando le seguenti definizioni.

Variabile Sostituzione

MANAGEMENT_API_SERVER Il file kubeconfig del server API di gestione.

PROJECT Il nome del progetto in cui vengono create le immagini VM.
- Se l'output è yes, l'utente dispone delle autorizzazioni per accedere alle immagini VM personalizzate nel progetto PROJECT.
- Se l'output è no, non disponi delle autorizzazioni. Contatta l'amministratore del progetto IAM e richiedi l'assegnazione al ruolo Amministratore immagini VM progetto (project-vm-image-admin) nello spazio dei nomi del progetto in cui si trova la VM.

Variabile	Sostituzione
`MANAGEMENT_API_SERVER`	Il file kubeconfig di sistema da `gdcloud auth login`.
`PROJECT`	Il nome del progetto per creare immagini VM.

Variabile	Sostituzione
`MANAGEMENT_API_SERVER`	Il file kubeconfig del server API di gestione.
`PROJECT`	Il nome del progetto in cui vengono create le immagini VM.

Preparazione delle autorizzazioni IAM Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.