Esta página foi traduzida pela API Cloud Translation.

Preparação das permissões do IAM

Antes de realizar tarefas em máquinas virtuais (VMs) no Google Distributed Cloud (GDC) isolado por air-gap, você precisa ter as funções e permissões de identidade e acesso (IAM) adequadas.

Antes de começar

Para usar os comandos da CLI gdcloud, conclua as etapas necessárias nas seções da interface de linha de comando (CLI) gdcloud. Todos os comandos para o Google Distributed Cloud isolado usam a CLI gdcloud ou kubectl e exigem um ambiente de sistema operacional (SO).

Extrair o caminho do arquivo kubeconfig

Para executar comandos no servidor da API Management, verifique se você tem os seguintes recursos:

Faça login e gere o arquivo kubeconfig para o servidor da API Management se você não tiver um.
Use o caminho para o arquivo kubeconfig do servidor da API Management para substituir MANAGEMENT_API_SERVER nestas instruções.

Sobre o IAM

O Distributed Cloud oferece o Identity and Access Management (IAM) para acesso granular a recursos específicos do Distributed Cloud e impede o acesso indesejado a outros recursos. O IAM opera com o princípio de segurança de privilégio mínimo e oferece controle sobre quem tem permissão para determinados recursos usando papéis e permissões do IAM.

Leia a documentação do IAM em Fazer login, que fornece instruções para fazer login no console do GDC ou na CLI gdcloud e usar kubectl para acessar suas cargas de trabalho.

Papéis predefinidos para recursos de VM

Para criar VMs e discos de VM em um projeto, peça as permissões adequadas ao administrador do IAM do projeto. Todas as funções de VM precisam ser vinculadas ao namespace do projeto em que a VM reside. Para gerenciar máquinas virtuais, o administrador do IAM do projeto pode atribuir a você os seguintes papéis predefinidos:

Administrador de máquinas virtuais do projeto project-vm-admin: gerencia VMs no namespace do projeto.
Administrador de imagens de máquina virtual do projeto project-vm-image-admin: gerencia imagens de VM no namespace do projeto.

Para uma lista de todos os papéis predefinidos para operadores de aplicativos (AO), consulte Descrições de papéis.

Confira a seguir os papéis comuns predefinidos para VMs. Para detalhes sobre papéis comuns, consulte Papéis comuns.

Leitor de tipo de VM vm-type-viewer: tem acesso de leitura a tipos de VM predefinidos.
Leitor de imagens públicas public-image-viewer: tem acesso de leitura às imagens fornecidas pelo GDC.

Para conceder ou receber acesso a recursos de VM, consulte Conceder acesso a recursos do projeto.

Verificar o acesso do usuário aos recursos da VM

Faça login como o usuário que está solicitando ou verificando permissões.
Verifique se você ou o usuário podem criar máquinas virtuais:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Substitua as variáveis usando as seguintes definições.

Variável Substituição

MANAGEMENT_API_SERVER O arquivo kubeconfig do sistema de gdcloud auth login.

PROJECT O nome do projeto para criar imagens de VM.
- Se o resultado for yes, você terá permissões para criar uma VM no projeto PROJECT.
- Se a saída for no, você não terá permissões. Entre em contato com o administrador do IAM do projeto e peça para atribuir a você o papel de administrador da máquina virtual do projeto (project-vm-admin) no namespace do projeto em que a VM está localizada.
Opcional: verifique se os usuários têm acesso a imagens de VM no nível do projeto. Por exemplo, execute os comandos a seguir para verificar se eles podem criar e usar recursos VirtualMachineImage no nível do projeto:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Substitua as variáveis usando as seguintes definições.

Variável Substituição

MANAGEMENT_API_SERVER O arquivo kubeconfig do servidor da API Management.

PROJECT O nome do projeto em que as imagens de VM são criadas.
- Se a saída for yes, o usuário terá permissões para acessar imagens de VM personalizadas no projeto PROJECT.
- Se a saída for no, você não terá permissões. Entre em contato com seu administrador do IAM do projeto e peça para atribuir a você o papel de administrador de imagens de máquinas virtuais do projeto (project-vm-image-admin) no namespace do projeto em que a VM está.

Variável	Substituição
`MANAGEMENT_API_SERVER`	O arquivo kubeconfig do sistema de `gdcloud auth login`.
`PROJECT`	O nome do projeto para criar imagens de VM.

Variável	Substituição
`MANAGEMENT_API_SERVER`	O arquivo kubeconfig do servidor da API Management.
`PROJECT`	O nome do projeto em que as imagens de VM são criadas.

Preparação das permissões do IAM Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.