Google Distributed Cloud (GDC) air-gapped ofrece Identity and Access Management (IAM) para brindar acceso detallado a recursos específicos de Distributed Cloud y evitar el acceso no deseado a otros recursos. IAM opera según el principio de seguridad de privilegio mínimo y controla quién puede acceder a recursos determinados con roles y permisos de IAM.
Un rol es una colección de permisos específicos asignados a ciertas acciones en recursos y asignados a sujetos individuales, como usuarios, grupos de usuarios o cuentas de servicio. Por lo tanto, debes tener los roles y permisos de IAM adecuados para implementar Gemini en Distributed Cloud.
Para obtener más información sobre los roles de operador de infraestructura (IO), consulta Definiciones de roles.
En la siguiente tabla, se proporcionan descripciones sobre los permisos asignados a los roles predefinidos necesarios para las implementaciones de Gemini:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| Administrador de la organización | organization-admin |
Crea y administra recursos de la organización en el clúster de administrador raíz. |
| Monitor de administrador de SERV | serv-admin-monitor |
Supervisa la disponibilidad del servidor de Bare Metal con GPU necesario (d3-highgpu1-256-gdc-metal). |
| Distribuidor de artefactos de Gemini | gemini-artifacts-distributor |
Leer y escribir en buckets de almacenamiento de objetos para recursos de gemini-model-artifact-registry |
| Visualizador de clústeres de artefactos de Gemini | gemini-artifacts-distributor-cluster-role |
Leer buckets de almacenamiento de objetos en el espacio de nombres del clúster |
| Administrador de secretos de Inference Gateway | inference-gateway-secret-admin |
Crea un recurso de Secret en el espacio de nombres aics-system. |
| Administrador de IAM de proyecto | project-iam-admin |
Crea un proyecto en la organización de Gemini. |