Configurar o IAM para a solução Bare Metal
Quando você quiser que um principal, como um usuário de projeto do Google Cloud ou uma conta de serviço, tenha acesso aos recursos no ambiente da Solução Bare Metal, vai ser necessário conceder a eles papéis e permissões apropriados Para conceder acesso, crie uma política do Identity and Access Management (IAM) e conceda papéis predefinidos específicos para a Solução Bare Metal.
Conceda papéis com permissões suficientes para que os principais possam realizar o trabalho, mas não mais, para que você possa seguir o princípio de segurança do Google Cloud de privilégio mínimo.
Papéis predefinidos para a Solução Bare Metal
Cada papel do IAM para a solução Bare Metal contém permissões que garantem o acesso principal a recursos específicos, conforme mostrado na tabela a seguir.
Nome da função | Caminho | Descrição |
---|---|---|
Administrador da Solução Bare Metal | roles/baremetalsolution.admin O papel básico Proprietário também tem essas permissões |
Controle total de todos os recursos atuais e futuros da Solução Bare Metal. Esse papel recebe permissões de leitura e gravação para envolvidos no projeto. |
Editor da solução Bare Metal | roles/baremetalsolution.editor O papel básico de Editor também tem essas permissões |
Editor de todos os recursos atuais e futuros da Solução Bare Metal. Esse papel recebe permissões de leitura e gravação para envolvidos no projeto. |
Leitor da solução Bare Metal | roles/baremetalsolution.viewer O papel básico de Leitor também tem essas permissões |
Leitor de todos os recursos atuais e futuros da Solução Bare Metal. Esse papel recebe permissões somente leitura para envolvidos no projeto. |
Administrador de instâncias da Solução Bare Metal | roles/baremetalsolution.instancesadmin |
Administrador de servidores da Solução Bare Metal. |
Editor de instâncias da Solução Bare Metal | roles/baremetalsolution.instanceseditor |
Editor de servidores da Solução Bare Metal. Esse papel recebe permissões para monitorar e gerenciar servidores. |
Leitor de instâncias da solução Bare Metal | roles/baremetalsolution.instancesviewer |
Leitor de servidores da Solução Bare Metal. Esse papel recebe permissões somente leitura para visualizar servidores. |
Administrador de armazenamento da Solução Bare Metal | roles/baremetalsolution.storageadmin |
Administrador de recursos de armazenamento da Solução Bare Metal, incluindo volumes, LUNs, snapshots e políticas de programação de snapshots. |
Editor de armazenamento da Solução Bare Metal | roles/baremetalsolution.storageeditor |
Editor de recursos de armazenamento da Solução Bare Metal, incluindo volumes, LUNs, snapshots e políticas de programação de snapshots. Esse papel recebe permissões para monitorar e gerenciar armazenamento. |
Leitor de armazenamento da Solução Bare Metal | roles/baremetalsolution.storageviewer |
Leitor de recursos de armazenamento da Solução Bare Metal, incluindo volumes, LUNs, snapshots e políticas de programação de snapshots. Esse papel recebe permissões somente leitura para ver o armazenamento. |
Administrador de redes da Solução Bare Metal | roles/baremetalsolution.networksadmin |
Administrador de recursos de volume da Solução Bare Metal |
Editor de redes da Solução Bare Metal | roles/baremetalsolution.networkseditor |
Editor de recursos de redes da Solução Bare Metal Esse papel recebe permissões para monitorar e gerenciar redes. |
Leitor de redes da Solução Bare Metal | roles/baremetalsolution.networksviewer |
Leitor de recursos de rede da Solução Bare Metal Esse papel recebe permissões somente leitura para visualizar redes. |
Administrador de compartilhamentos de NFS da Solução Bare Metal | roles/baremetalsolution.nfssharesadmin |
Administrador de recursos do compartilhamento NFS da Solução Bare Metal |
Editor de compartilhamentos de NFS da Solução Bare Metal | roles/baremetalsolution.nfsshareseditor |
Editor de recursos do compartilhamento NFS da Solução Bare Metal Esse papel recebe permissões para monitorar e gerenciar o armazenamento de arquivos NFS. |
Leitor de compartilhamentos da solução Bare Metal para NFS | roles/baremetalsolution.nfssharesviewer |
Leitor de recursos do compartilhamento NFS da Solução Bare Metal Esse papel recebe permissões somente leitura para ver o armazenamento de arquivos NFS. |
Para os papéis mostrados acima, recomendamos aplicá-los da seguinte maneira:
Preenchimento de um formulário de entrada
- Papéis da Solução Bare Metal: administrador, editor ou administrador de instâncias E visualizador de rede do Compute
- Papéis básicos: proprietário ou editor
Como reiniciar um servidor da Solução Bare Metal
- Papéis da solução Bare Metal: administrador ou editor
- Papéis básicos: proprietário ou editor
Como listar servidores ou solicitar status
- Papéis da solução Bare Metal: visualizador ou visualizador de instâncias
- Papel básico: visualizador
Como gerenciar componentes de armazenamento
- Papéis da solução Bare Metal: administrador, editor ou administrador de armazenamento
- Papéis básicos: proprietário ou editor
Como gerenciar componentes de rede
- Papéis da solução Bare Metal: administrador, editor ou administrador de rede
- Papéis básicos: proprietário ou editor
Para ver uma lista completa de papéis da Solução Bare Metal, consulte Papéis predefinidos e insira
baremetalsolution.
na caixa de pesquisa.
Para ver uma lista completa de permissões da Solução Bare Metal, consulte Pesquisar uma permissão e insira
baremetalsolution.
na caixa de pesquisa.
Conceder um papel do IAM
Adicione uma política do IAM para conceder um papel da Solução Bare Metal a um principal. O papel contém permissões que permitem que o principal execute determinadas ações. Para conceder um papel:
Console
Verifique se você tem um papel que contém as permissões apropriadas do IAM para garantir papéis a outras pessoas, como Proprietário, Administrador de IAM do projeto ou Administrador de segurança. Para mais informações sobre esse requisito, consulte Papéis necessários.
No console do Google Cloud, abra a página de permissões do IAM.
Clique em Conceder acesso.
Digite as seguintes informações:
Em Adicionar participantes, insira seus usuários. Você pode adicionar usuários individuais, grupos do Google, contas de serviço ou domínios do Google Workspace.
Em Atribuir papéis, escolha um papel do menu Selecionar um papel para conceder esse papel aos principais.
Clique em
Adicionar outro papel se você precisar atribuir vários papéis aos principais.Clique em Save.
Os principais e os papéis atribuídos aparecem na página de status Permissões do IAM.
gcloud
Verifique se você tem um papel que contém as permissões apropriadas do IAM para garantir papéis a outras pessoas, como Proprietário, Administrador de IAM do projeto ou Administrador de segurança. Para mais informações sobre esse requisito, consulte Papéis necessários.
Abra uma janela do Cloud Shell no projeto do Google Cloud.
Adicione o ID do projeto do Google Cloud, o endereço de e-mail para a conta principal do Google Cloud e o caminho do papel da Solução Bare Metal desejado no comando a seguir:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:username@example.com \ --role=roles/baremetalsolution.admin
Copie e cole o comando na janela do Cloud Shell.
Pressione a tecla Enter ou Retornar.
Em alguns casos, uma janela Autorizar o Cloud Shell é aberta, solicitando que você permita uma chamada de API. Se você vir essa mensagem, clique em Autorizar.
Depois de inserir os comandos, o resultado se parecerá com o seguinte:
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - user:username@example.com role: roles/baremetalsolution.admin - members: - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com role: roles/compute.serviceAgent - members: - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com role: roles/editor - members: - user:username@example.com role: roles/owner etag: ETAG_NUMBER version: 1
Para saber mais sobre o IAM, consulte o Identity and Access Management.