Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Berechtigungen vorbereiten

Bevor Sie Aufgaben auf virtuellen Maschinen (VMs) in einer GDC-Appliance (Google Distributed Cloud) mit Air Gap ausführen, benötigen Sie die entsprechenden IAM-Rollen (Identity and Access Management) und -Berechtigungen.

Die GDC-Air-Gap-Appliance bietet Identity and Access Management (IAM) für den detaillierten Zugriff auf bestimmte GDC-Air-Gap-Appliance-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und bietet Kontrolle darüber, wer (Identität) welche Berechtigungen (Rollen) für welche Ressourcen hat. Sie benötigen die erforderlichen Rollen und Berechtigungen, bevor Sie mit virtuellen Maschinen (VMs) arbeiten können.

Hinweise

Wenn Sie gdcloud-CLI-Befehle verwenden möchten, führen Sie die erforderlichen Schritte aus den Abschnitten zur gdcloud-Befehlszeile aus. Für alle Befehle für die Google Distributed Cloud Air-Gapped Appliance wird die CLI gdcloud oder kubectl verwendet und es ist eine Betriebssystemumgebung (OS) erforderlich.

kubeconfig-Dateipfade abrufen

Führen Sie gdcloud auth login auf dem Management API-Server aus.
1. Notieren Sie sich den Pfad zur generierten Datei. Hier ein Beispiel für den Pfad zum Datensatz:
  /tmp/admin-kubeconfig-with-user-identity.yaml.
2. Verwenden Sie den Pfad, um MANAGEMENT_API_SERVER in dieser Anleitung zu ersetzen.

Informationen zu IAM

Die GDC-Air-Gap-Appliance bietet Identity and Access Management (IAM) für den detaillierten Zugriff auf bestimmte GDC-Air-Gap-Appliance-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und bietet mithilfe von IAM-Rollen und ‑Berechtigungen die Möglichkeit, zu steuern, wer die Berechtigung für bestimmte Ressourcen hat.

Lesen Sie die IAM-Dokumentation unter Anmelden. Dort finden Sie eine Anleitung zum Anmelden in der GDC Console oder der gdcloud CLI und zum Verwenden von kubectl für den Zugriff auf Ihre Arbeitslasten.

Vordefinierte Rollen für VM-Ressourcen

Wenn Sie VMs und VM-Laufwerke in einem Projekt erstellen möchten, fordern Sie die entsprechenden Berechtigungen für das jeweilige Projekt von Ihrem Projekt-IAM-Administrator an. Um virtuelle Maschinen zu verwalten, kann Ihr Projekt-IAM-Administrator Ihnen die folgenden vordefinierten Rollen zuweisen:

Project VirtualMachine Admin: Verwaltet VMs im Projekt-Namespace.
Project VirtualMachine Image Admin: Verwaltet VM-Images im Projekt-Namespace.

Eine Liste aller vordefinierten Rollen für Anwendungsoperatoren (AO) finden Sie unter Rollenbeschreibungen.

Im Folgenden finden Sie vordefinierte allgemeine Rollen für VMs. Weitere Informationen zu gängigen Rollen finden Sie unter Gängige Rollen.

VM-Typ-Betrachter: Hat Lesezugriff auf vordefinierte VM-Typen.
Public Image Viewer: Hat Lesezugriff auf Bilder, die von der GDC-Appliance mit Air Gap bereitgestellt werden.

Informationen zum Gewähren oder Erhalten des Zugriffs auf VM-Ressourcen finden Sie unter Zugriff auf Projektressourcen gewähren.

Nutzerzugriff auf VM-Ressourcen bestätigen

Melden Sie sich als der Nutzer an, der Berechtigungen anfordert oder bestätigt.
Prüfen Sie, ob Sie oder der Nutzer virtuelle Maschinen erstellen können:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Ersetzen Sie die Variablen durch die folgenden Definitionen.

Variable Ersetzen

MANAGEMENT_API_SERVER Der Management API-Serverpfad kubeconfig aus gdcloud auth login

PROJECT beim Erstellen von VM-Images

Wenn die Ausgabe yes lautet, haben Sie die Berechtigung, eine VM im Projekt PROJECT zu erstellen.
Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und bitten Sie ihn, Ihnen die Rolle „Projekt-VM-Administrator“ (project-vm-admin) zuzuweisen.
Optional: Prüfen Sie, ob Nutzer Zugriff auf VM-Images auf Projektebene haben und ob sie VirtualMachineImage-Ressourcen auf Projektebene erstellen und verwenden können:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Ersetzen Sie die Variablen durch die folgenden Definitionen.

Variable Ersetzen

MANAGEMENT_API_SERVER Der kubeconfig-Pfad des Management API-Servers

PROJECT Der Projektname, in dem VM-Images erstellt werden
- Wenn die Ausgabe yes ist, hat der Nutzer die Berechtigungen für den Zugriff auf benutzerdefinierte VM-Images im Projekt PROJECT.
- Wenn die Ausgabe no ist, haben Sie keine Berechtigungen. Wenden Sie sich an Ihren Projekt-IAM-Administrator und bitten Sie ihn, Ihnen die Rolle „Projekt-VM-Image-Administrator“ (project-vm-image-admin) zuzuweisen.

Variable	Ersetzen
`MANAGEMENT_API_SERVER`	Der Management API-Serverpfad `kubeconfig` aus `gdcloud auth login`
`PROJECT`	beim Erstellen von VM-Images

Variable	Ersetzen
`MANAGEMENT_API_SERVER`	Der `kubeconfig`-Pfad des Management API-Servers
`PROJECT`	Der Projektname, in dem VM-Images erstellt werden

IAM-Berechtigungen vorbereiten Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.