Google Distributed Cloud (GDC) Air-Gapped bietet Identity and Access Management (IAM) für detaillierten Zugriff auf bestimmte Distributed Cloud-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und steuert mithilfe von IAM-Rollen und -Berechtigungen, wer auf bestimmte Ressourcen zugreifen kann.
Eine Rolle ist eine Sammlung bestimmter Berechtigungen, die bestimmten Aktionen für Ressourcen zugeordnet und einzelnen Subjekten wie Nutzern, Nutzergruppen oder Dienstkonten zugewiesen werden. Daher benötigen Sie die entsprechenden IAM-Rollen und -Berechtigungen, um Gemini in Distributed Cloud bereitzustellen.
Weitere Informationen zu Infrastructure Operator-Rollen (IO-Rollen) finden Sie unter Rollenkonfigurationen.
In der folgenden Tabelle werden die Berechtigungen beschrieben, die den vordefinierten Rollen zugewiesen sind, die für Gemini-Bereitstellungen erforderlich sind:
| Rollenname | Name der Kubernetes-Ressource | Berechtigungsbeschreibung |
|---|---|---|
| Organisationsadministrator | organization-admin |
Organisationsressourcen im Root-Administratorcluster erstellen und verwalten |
| SERV Admin Monitor | serv-admin-monitor |
Überwachen Sie die Verfügbarkeit des erforderlichen GPU-Bare-Metal-Servers (d3-highgpu1-256-gdc-metal). |
| Gemini Artifact Distributor | gemini-artifacts-distributor |
Lese- und Schreibzugriff auf Objektspeicher-Buckets für gemini-model-artifact-registry-Ressourcen. |
| Gemini Artifact Cluster Viewer | gemini-artifacts-distributor-cluster-role |
Objektspeicher-Buckets im Clusternamespace lesen |
| Inference Gateway-Secret-Administrator | inference-gateway-secret-admin |
Erstellen Sie eine Secret-Ressource im Namespace aics-system. |
| Projekt-IAM-Administrator | project-iam-admin |
Erstellen Sie ein Projekt in der Gemini-Organisation. |