O Google Distributed Cloud (GDC) air-gapped oferece o Identity and Access Management (IAM) para acesso granular a recursos específicos do Distributed Cloud e impede o acesso indesejado a outros recursos. O IAM opera com o princípio de segurança de privilégio mínimo e controla quem pode acessar determinados recursos usando papéis e permissões do IAM.
Um papel é um conjunto de permissões específicas mapeadas para determinadas ações em recursos e atribuídas a assuntos individuais, como usuários, grupos de usuários ou contas de serviço. Portanto, é necessário ter as funções e permissões adequadas do IAM para implantar o Gemini no Distributed Cloud.
Para mais informações sobre os papéis de operador de infraestrutura (IO), consulte Definições de papéis.
A tabela a seguir fornece descrições sobre as permissões atribuídas aos papéis predefinidos necessários para implantações do Gemini:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão |
|---|---|---|
| Administrador da organização | organization-admin |
Crie e gerencie recursos da organização no cluster de administrador raiz. |
| Monitor de administrador do SERV | serv-admin-monitor |
Monitore a disponibilidade do servidor bare metal de GPU necessário (d3-highgpu1-256-gdc-metal). |
| Distribuidor de artefatos do Gemini | gemini-artifacts-distributor |
Leitura e gravação em buckets de armazenamento de objetos para recursos gemini-model-artifact-registry. |
| Leitor de cluster de artefatos do Gemini | gemini-artifacts-distributor-cluster-role |
Ler buckets de armazenamento de objetos no namespace do cluster. |
| Administrador de secrets do gateway de inferência | inference-gateway-secret-admin |
Crie um recurso Secret no namespace aics-system. |
| Administrador de IAM do projeto | project-iam-admin |
Crie um projeto na organização do Gemini. |