为裸金属解决方案配置 IAM
如果您希望主账号(例如 Google Cloud 项目用户或服务账号)获得裸金属解决方案环境中的资源的访问权限,则需要向它们授予适当的角色和权限。如需授予访问权限,您可以创建 Identity and Access Management (IAM) 政策并授予裸金属解决方案专用的预定义角色。
请遵循 Google Cloud 安全最小权限原则,向主账号授予具有足够权限的角色,让主账号能够执行其工作,但无权执行其他操作。
裸金属解决方案的预定义角色
裸金属解决方案的每个 IAM 角色都包含一些权限,这些权限可授予主账号对特定资源的访问权限,如下表所示。
| 角色名称 | 路径 | 说明 |
|---|---|---|
| Bare Metal Solution Admin | roles/baremetalsolution.admin(Owner 基本角色也拥有这些权限) |
拥有当前和未来的所有裸金属解决方案资源的完全控制权。此角色拥有项目级层的读写权限。 |
| Bare Metal Solution Editor | roles/baremetalsolution.editor(Editor 基本角色也拥有这些权限) |
可以修改当前和未来的所有裸金属解决方案资源。此角色拥有项目级层的读写权限。 |
| Bare Metal Solution Viewer | roles/baremetalsolution.viewer(Viewer 基本角色也拥有这些权限) |
可以查看当前和未来的所有裸金属解决方案资源。此角色拥有项目级层的只读权限。 |
| Bare Metal Solution Instances Admin | roles/baremetalsolution.instancesadmin |
裸金属解决方案服务器的管理员。 |
| Bare Metal Solution Instances Editor | roles/baremetalsolution.instanceseditor |
裸金属解决方案服务器的编辑者。此角色拥有监控和管理服务器的权限。 |
| Bare Metal Solution Instances Viewer | roles/baremetalsolution.instancesviewer |
可以查看裸金属解决方案服务器。此角色拥有查看服务器的只读权限。 |
| Bare Metal Solution Storage Admin | roles/baremetalsolution.storageadmin |
裸金属解决方案存储资源的管理员,这些资源包括卷、LUN、快照和快照时间表政策。 |
| Bare Metal Solution Storage Editor | roles/baremetalsolution.storageeditor |
裸金属解决方案存储资源的编辑者,这些资源包括卷、LUN、快照和快照时间表政策。此角色拥有监控和管理存储空间的权限。 |
| Bare Metal Solution Storage Viewer | roles/baremetalsolution.storageviewer |
裸金属解决方案存储资源的查看者,这些资源包括卷、LUN、快照和快照时间表政策。此角色拥有查看存储空间的只读权限。 |
| Bare Metal Solution Networks Admin | roles/baremetalsolution.networksadmin |
裸金属解决方案网络资源的管理员。 |
| Bare Metal Solution Networks Editor | roles/baremetalsolution.networkseditor |
裸金属解决方案网络资源的编辑者。此角色拥有监控和管理网络的权限。 |
| Bare Metal Solution Networks Viewer | roles/baremetalsolution.networksviewer |
裸金属解决方案网络资源的查看者。此角色拥有查看网络的只读权限。 |
| 裸金属解决方案 NFS 共享管理员 | roles/baremetalsolution.nfssharesadmin |
裸金属解决方案 NFS 共享资源的管理员。 |
| 裸金属解决方案 NFS 共享编辑者 | roles/baremetalsolution.nfsshareseditor |
裸金属解决方案 NFS 资源的编辑者。此角色拥有监控和管理 NFS 文件存储的权限。 |
| 裸金属解决方案 NFS 共享查看者 | roles/baremetalsolution.nfssharesviewer |
裸金属解决方案 NFS 资源的查看者。此角色拥有查看 NFS 文件存储空间的只读权限。 |
对于上述角色,我们建议按如下所示应用:
填写登记表
- 裸金属解决方案角色:Admin、Editor 或 Instances Admin AND Compute Network Viewer
- 基本角色:Owner 或 Editor
重启 Bare Metal 解决方案服务器
- 裸金属解决方案角色:Admin 或 Editor
- 基本角色:Owner 或 Editor
列出服务器或请求状态
- 裸金属解决方案角色:Viewer 或 Instances Viewer
- 基本角色:Viewer
管理存储组件
- 裸金属解决方案角色:Admin、Editor 或 Storage Admin
- 基本角色:Owner 或 Editor
管理网络组件
- 裸金属解决方案角色:Admin、Editor 或 Networks Admin
- 基本角色:Owner 或 Editor
如需查看裸金属解决方案角色的完整列表,请参阅预定义角色并在搜索框中输入 baremetalsolution.。
如需查看裸金属解决方案权限的完整列表,请参阅搜索权限并在搜索框中输入 baremetalsolution.。
授予 IAM 角色
添加 IAM 政策以向主账号授予裸金属解决方案角色。该角色包含使主账号能够执行特定操作的权限。授予角色:
控制台
确保您拥有的角色包含适当的 IAM 权限,可向其他角色授予角色,例如 Owner、Project IAM Admin 或 Security Admin。如需详细了解此要求,请参阅所需角色。
在 Google Cloud 控制台中,进入 IAM 权限页面。
点击授予使用权限。
请输入以下信息:
在添加主账号部分,输入您的用户。您可以添加单个用户、Google 群组、服务账号或 Google Workspace 网域。
对于分配角色,从选择角色菜单中选择一个角色,以将此角色授予主账号。
如果您需要为主账号分配多个角色,点击 添加其他角色。
点击保存。
您的主账号及其分配的角色会显示在 IAM 权限状态页面中。
gcloud
确保您拥有的角色包含适当的 IAM 权限,可向其他角色授予角色,例如 Owner、Project IAM Admin 或 Security Admin。如需详细了解此要求,请参阅所需角色。
在 Google Cloud 项目中打开 Cloud Shell 窗口。
将您的 Google Cloud 项目 ID、主账号的 Google Cloud 账号的电子邮件地址和所需的裸金属解决方案角色路径添加到以下命令中:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:username@example.com \ --role=roles/baremetalsolution.admin
复制该命令并将其粘贴到 Cloud Shell 窗口中。
按 Enter 键或 Return 键。
在某些情况下,系统会打开为 Cloud Shell 提供授权窗口,要求您允许 API 调用。如果您看到此窗口,请点击授权。
成功输入命令后,输出将如下所示:
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - user:username@example.com role: roles/baremetalsolution.admin - members: - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com role: roles/compute.serviceAgent - members: - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com role: roles/editor - members: - user:username@example.com role: roles/owner etag: ETAG_NUMBER version: 1
如需详细了解 IAM,请参阅 Identity and Access Management。