Configurazione di IAM per Bare Metal Solution

Se vuoi che un principale possa accedere alle risorse nel tuo ambiente Bare Metal Solution, devi concedere le autorizzazioni e i ruoli appropriati agli account utente e agli account di servizio. Come per altri componenti di Google Cloud, puoi creare un criterio IAM (Identity and Access Management) e concedere ruoli predefiniti specifici alla soluzione Bare Metal.

Devi concedere i ruoli alle entità associate al tuo progetto Google Cloud. Concedi ruoli con autorizzazioni sufficienti affinché le entità possano svolgere il loro lavoro, ma non più, in modo da poter seguire il principio di sicurezza di Google Cloud del privilegio minimo.

Ruoli predefiniti per la soluzione Bare Metal

Ogni ruolo IAM per la soluzione Bare Metal contiene le autorizzazioni che consentono all'entità di accedere a risorse specifiche, come mostrato nella tabella seguente.

Nome del ruolo Percorso Descrizione
Amministratore soluzione Bare Metal role/baremetalsolution.admin
(Anche il ruolo Proprietario di base dispone di queste autorizzazioni)
Controllo completo di tutte le risorse Bare Metal Solution attuali e future. Questo ruolo riceve le autorizzazioni di lettura e scrittura a livello di progetto.
Editor di soluzione Bare Metal role/baremetalsolution.editor
(Anche il ruolo di base di Editor ha queste autorizzazioni)
Editor di tutte le risorse Bare Metal Solution attuali e future. Questo ruolo riceve le autorizzazioni di lettura e scrittura a livello di progetto.
Visualizzatore della soluzione Bare Metal role/baremetalsolution.viewer
(Anche il ruolo Visualizzatore di base dispone di queste autorizzazioni)
Visualizzatore di tutte le risorse Bare Metal Solution attuali e future. Questo ruolo riceve autorizzazioni di sola lettura a livello di progetto.
Amministratore istanze Bare Metal Solution role/baremetalsolution.instancesadmin Amministratore dei server Bare Metal Solution.
Editor delle istanze per soluzioni Bare Metal role/baremetalsolution.instanceseditor Editor dei server Bare Metal Solution. Questo ruolo riceve le autorizzazioni per monitorare e gestire i server.
Visualizzatore istanze soluzione Bare Metal role/baremetalsolution.instancesviewer Visualizzatore dei server Bare Metal Solution. Questo ruolo riceve autorizzazioni di sola lettura per visualizzare i server.
Amministratore Storage per la soluzione Bare Metal role/baremetalsolution.storageadmin Amministratore delle risorse di archiviazione per la soluzione Bare Metal, inclusi volumi, LUN, snapshot e criteri di pianificazione degli snapshot.
Editor Barre Metal Solution role/baremetalsolution.storageeditor Editor delle risorse di archiviazione per la soluzione Bare Metal, inclusi volumi, LUN, snapshot e criteri di pianificazione degli snapshot. Questo ruolo riceve le autorizzazioni per monitorare e gestire l'archiviazione.
Visualizzatore archiviazione Barre Metal Solution role/baremetalsolution.storageviewer Visualizzatore delle risorse di archiviazione per la soluzione Bare Metal, inclusi volumi, LUN, snapshot e criteri di pianificazione degli snapshot. Questo ruolo riceve autorizzazioni di sola lettura per visualizzare lo spazio di archiviazione.
Amministratore di reti per soluzioni Bare Metal role/baremetalsolution.networksadmin Amministratore delle risorse di networking di Bare Metal Solution.
Editor di reti per soluzioni Bare Metal role/baremetalsolution.networkseditor Editor delle risorse di networking di Bare Metal Solution. Questo ruolo riceve le autorizzazioni per monitorare e gestire le reti.
Visualizzatore reti per soluzioni Bare Metal role/baremetalsolution.networksviewer Visualizzatore delle risorse di networking della soluzione Bare Metal. Questo ruolo riceve autorizzazioni di sola lettura per visualizzare le reti.
Amministratore Condivisioni NFS per le soluzioni Bare Metal role/baremetalsolution.nfssharesadmin Amministratore delle risorse NFS della soluzione Bare Metal.
Editor azioni NFS della soluzione Barre Metal role/baremetalsolution.nfsshareseditor Editor delle risorse NFS per la soluzione Bare Metal. Questo ruolo riceve le autorizzazioni per monitorare e gestire l'archiviazione di file NFS.
Visualizzatore condivisioni NFS soluzione Bare Metal role/baremetalsolution.nfssharesviewer Visualizzatore delle risorse NFS per la soluzione Bare Metal. Questo ruolo riceve autorizzazioni di sola lettura per visualizzare l'archiviazione di file NFS.

Per i ruoli indicati sopra, consigliamo di applicarli come segue:

  • Compilare un modulo di accettazione

    • Ruoli della soluzione Bare Metal: amministratore, editor o amministratore di istanze E visualizzatore di rete Compute
    • Ruoli di base: amministratore o editor
  • Riavviare un server Bare Metal Solution

    • Ruoli della soluzione Bare Metal: amministratore o editor
    • Ruoli di base: amministratore o editor
  • Elencare i server o richiedere lo stato

    • Ruoli soluzione Bare Metal: visualizzatore o visualizzatore istanze
    • Ruolo di base: Visualizzatore
  • Gestione dei componenti di archiviazione

    • Ruoli della soluzione Bare Metal: amministratore, editor o amministratore di Storage
    • Ruoli di base: amministratore o editor
  • Gestione dei componenti di networking

    • Ruoli della soluzione Bare Metal: amministratore, editor o amministratore di reti
    • Ruoli di base: amministratore o editor

Concedi un ruolo IAM

Aggiungi un criterio IAM (Gestione di identità e accessi) per concedere un ruolo Soluzione Bare Metal a un'entità (utente o progetto di servizio Cloud). Il ruolo contiene autorizzazioni che consentono all'entità di eseguire determinate azioni. Per concedere un ruolo:

  1. Assicurati di avere un ruolo contenente le autorizzazioni IAM appropriate per concedere ruoli ad altri utenti, ad esempio Proprietario, Amministratore IAM del progetto o Amministratore sicurezza. Per ulteriori informazioni su questo requisito, consulta la sezione Autorizzazioni richieste.
  2. Apri una finestra di Cloud Shell nel tuo progetto Cloud.
  3. Aggiungi l'ID progetto Cloud, l'indirizzo email per l'account Google Cloud dell'entità e il percorso del ruolo Bare Metal Solution desiderato nel seguente comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=user:username@example.com \
     --role=roles/baremetalsolution.admin
     

  4. Copia il comando e incollalo nella finestra di Cloud Shell.

  5. Premi il tasto Invio.

  6. In alcuni casi, viene visualizzata la finestra Autorizza Cloud Shell, che richiede di consentire una chiamata API. Se visualizzi questa opzione, fai clic su Autorizza.

  7. Dopo aver inserito correttamente i comandi, l'output avrà il seguente aspetto:

    Updated IAM policy for project [PROJECT_ID].
      bindings:
      - members:
       - user:username@example.com
       role: roles/baremetalsolution.admin
      - members:
       - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
       role: roles/compute.serviceAgent
      - members:
       - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
       - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
       role: roles/editor
      - members:
       - user:username@example.com
       role: roles/owner
      etag: ETAG_NUMBER
      version: 1
     

Per saperne di più su IAM, vedi Identity and Access Management.