Configurazione di IAM per Bare Metal Solution
Quando vuoi che un'entità, ad esempio un account utente o di servizio di un progetto Google Cloud, possa accedere alle risorse nel tuo ambiente Bare Metal Solution, devi concedere loro i ruoli e le autorizzazioni appropriati. Per concedere l'accesso, puoi creare un criterio di Identity and Access Management (IAM) e assegnare ruoli predefiniti specifici per Bare Metal Solution.
Concedi ruoli con autorizzazioni sufficienti affinché le entità possano svolgere il proprio lavoro, ma non di più, in modo da seguire il principio di sicurezza di Google Cloud del privilegio minimo.
Ruoli predefiniti per Bare Metal Solution
Ogni ruolo IAM per Bare Metal Solution contiene autorizzazioni che concedono all'entità l'accesso a risorse specifiche, come mostrato nella tabella seguente.
| Nome ruolo | Percorso | Description |
|---|---|---|
| Amministratore soluzione bare metal | roles/baremetalsolution.admin(Anche il ruolo di base Proprietario dispone di queste autorizzazioni) |
Controllo completo di tutte le risorse Bare Metal Solution attuali e future. Questo ruolo riceve le autorizzazioni di lettura e scrittura a livello di progetto. |
| Editor Bare Metal Solution | roles/baremetalsolution.editorAnche il ruolo di base Editor dispone di queste autorizzazioni. |
Editor di tutte le risorse Bare Metal Solution attuali e future. Questo ruolo riceve le autorizzazioni di lettura e scrittura a livello di progetto. |
| Visualizzatore Bare Metal Solution | roles/baremetalsolution.viewerAnche il ruolo di base Visualizzatore dispone di queste autorizzazioni. |
Visualizzatore di tutte le risorse Bare Metal Solution attuali e future. Questo ruolo riceve autorizzazioni di sola lettura a livello di progetto. |
| Amministratore istanze Bare Metal Solution | roles/baremetalsolution.instancesadmin |
Amministratore dei server Bare Metal Solution. |
| Editor istanze Bare Metal Solution | roles/baremetalsolution.instanceseditor |
Editor dei server Bare Metal Solution. Questo ruolo riceve le autorizzazioni per monitorare e gestire i server. |
| Visualizzatore istanze Bare Metal Solution | roles/baremetalsolution.instancesviewer |
Visualizzatore dei server Bare Metal Solution. Questo ruolo riceve autorizzazioni di sola lettura per visualizzare i server. |
| Amministratore archiviazione Bare Metal Solution | roles/baremetalsolution.storageadmin |
Amministratore delle risorse di archiviazione per Bare Metal Solution, inclusi volumi, LUN, snapshot e criteri di pianificazione degli snapshot. |
| Editor archiviazione Bare Metal Solution | roles/baremetalsolution.storageeditor |
Editor delle risorse di archiviazione per Bare Metal Solution, inclusi volumi, LUN, snapshot e criteri di pianificazione degli snapshot. Questo ruolo riceve le autorizzazioni per monitorare e gestire lo spazio di archiviazione. |
| Visualizzatore archiviazione Bare Metal Solution | roles/baremetalsolution.storageviewer |
Visualizzatore delle risorse di archiviazione per Bare Metal Solution, inclusi volumi, LUN, snapshot e criteri di pianificazione degli snapshot. Questo ruolo riceve autorizzazioni di sola lettura per visualizzare lo spazio di archiviazione. |
| Amministratore di reti Bare Metal Solution | roles/baremetalsolution.networksadmin |
Amministratore delle risorse di networking per Bare Metal Solution. |
| Editor reti Bare Metal Solution | roles/baremetalsolution.networkseditor |
Editor delle risorse di networking per Bare Metal Solution. Questo ruolo riceve le autorizzazioni per monitorare e gestire le reti. |
| Visualizzatore Bare Metal Solution Networks | roles/baremetalsolution.networksviewer |
Visualizzatore delle risorse di networking per Bare Metal Solution. Questo ruolo riceve autorizzazioni di sola lettura per visualizzare le reti. |
| Amministratore condivisioni NFS Bare Metal Solution | roles/baremetalsolution.nfssharesadmin |
Amministratore risorse NFS Bare Metal Solution. |
| Editor condivisioni NFS Bare Metal Solution | roles/baremetalsolution.nfsshareseditor |
Editor delle risorse NFS Bare Metal Solution. Questo ruolo riceve le autorizzazioni per monitorare e gestire l'archiviazione dei file NFS. |
| Visualizzatore condivisioni NFS Bare Metal Solution | roles/baremetalsolution.nfssharesviewer |
Visualizzatore delle risorse NFS Bare Metal Solution. Questo ruolo riceve autorizzazioni di sola lettura per visualizzare l'archiviazione dei file NFS. |
Per i ruoli mostrati sopra, ti consigliamo di applicarli come segue:
Compilare un modulo di accettazione
- Ruoli Bare Metal Solution: Amministratore, Editor o Amministratore istanze E Visualizzatore rete Compute
- Ruoli di base: Proprietario o Editor
Riavvio di un server Bare Metal Solution
- Ruoli di Bare Metal Solution: amministratore o editor
- Ruoli di base: Proprietario o Editor
Elenco dei server o richiesta dello stato
- Ruoli Bare Metal Solution: visualizzatore o visualizzatore istanze
- Ruolo di base: visualizzatore
Gestione dei componenti di archiviazione
- Ruoli di Bare Metal Solution: amministratore, editor o amministratore dello spazio di archiviazione
- Ruoli di base: Proprietario o Editor
Gestione dei componenti di networking
- Ruoli di Bare Metal Solution: Amministratore, Editor o Amministratore reti
- Ruoli di base: Proprietario o Editor
Per un elenco completo dei ruoli Bare Metal Solution, vedi Ruoli predefiniti e inserisci baremetalsolution. nella casella di ricerca.
Per un elenco completo delle autorizzazioni Bare Metal Solution, vedi Cercare un'autorizzazione e inserisci baremetalsolution. nella casella di ricerca.
Concedi un ruolo IAM
Aggiungi un criterio IAM per concedere un ruolo Bare Metal Solution a un'entità. Il ruolo contiene autorizzazioni che consentono all'entità di eseguire determinate azioni. Per concedere un ruolo:
Console
Assicurati di avere un ruolo che contenga le autorizzazioni IAM appropriate per concedere ruoli ad altri, ad esempio Proprietario, Amministratore IAM progetto o Amministratore sicurezza. Per maggiori informazioni su questo requisito, consulta la pagina Ruoli obbligatori.
Nella console Google Cloud, vai alla pagina delle autorizzazioni IAM.
Fai clic su Concedi accesso.
Inserisci le seguenti informazioni:
In Aggiungi entità, inserisci gli utenti. Puoi aggiungere singoli utenti, gruppi Google, account di servizio o domini Google Workspace.
In Assegna ruoli, scegli un ruolo dal menu Seleziona un ruolo per concedere questo ruolo alle entità.
Fai clic su Aggiungi un altro ruolo se devi assegnare più ruoli alle entità.
Fai clic su Salva.
Le entità e i ruoli assegnati vengono visualizzati nella pagina di stato delle autorizzazioni IAM.
gcloud
Assicurati di disporre di un ruolo che contenga le autorizzazioni IAM appropriate per concedere ruoli ad altri, ad esempio Proprietario, Amministratore IAM progetto o Amministratore sicurezza. Per maggiori informazioni su questo requisito, consulta la pagina Ruoli obbligatori.
Apri una finestra di Cloud Shell nel tuo progetto Google Cloud.
Aggiungi l'ID progetto Google Cloud, l'indirizzo email per l'account Google Cloud dell'entità e il percorso del ruolo Bare Metal Solution desiderato nel comando seguente:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:username@example.com \ --role=roles/baremetalsolution.admin
Copia il comando e incollalo nella finestra di Cloud Shell.
Premi il tasto Invio.
In alcuni casi, si apre la finestra Autorizza Cloud Shell, in cui ti viene chiesto di consentire una chiamata API. Se visualizzi questa opzione, fai clic su Autorizza.
Una volta inseriti correttamente i comandi, l'output sarà simile al seguente:
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - user:username@example.com role: roles/baremetalsolution.admin - members: - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com role: roles/compute.serviceAgent - members: - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com role: roles/editor - members: - user:username@example.com role: roles/owner etag: ETAG_NUMBER version: 1
Per saperne di più su IAM, vedi Identity and Access Management.