Esta página se ha traducido con Cloud Translation API.

Preparación de permisos de gestión de identidades y accesos

Antes de realizar tareas en máquinas virtuales (VM) en el dispositivo aislado de Google Distributed Cloud (GDC), debes tener los roles y permisos de gestión de identidades y accesos (IAM) adecuados.

El dispositivo aislado de GDC ofrece gestión de identidades y accesos (IAM) para un acceso granular a recursos específicos del dispositivo aislado de GDC y evita el acceso no deseado a otros recursos. IAM se basa en el principio de seguridad de los mínimos accesos y proporciona control sobre quién (es decir, qué identidad) tiene qué permisos (es decir, qué roles) y a qué recursos. Debes tener asignados los roles y permisos necesarios para poder trabajar con máquinas virtuales.

Antes de empezar

Para usar los comandos de la CLI de gdcloud, completa los pasos necesarios de las secciones sobre la interfaz de línea de comandos (CLI) de gdcloud. Todos los comandos del dispositivo air-gapped de Google Distributed Cloud usan la CLI gdcloud o kubectl y requieren un entorno de sistema operativo (SO).

Obtener las rutas de los archivos kubeconfig

Ejecuta gdcloud auth login en el servidor de la API Management.
1. Anota la ruta del archivo generado. A continuación, se muestra un ejemplo de la ruta del registro:
  /tmp/admin-kubeconfig-with-user-identity.yaml.
2. Usa la ruta para sustituir MANAGEMENT_API_SERVER en estas instrucciones.

Acerca de la gestión de identidades y accesos

El dispositivo aislado de GDC ofrece gestión de identidades y accesos (IAM) para un acceso granular a recursos específicos del dispositivo aislado de GDC y evita el acceso no deseado a otros recursos. IAM se basa en el principio de seguridad del privilegio mínimo y proporciona control sobre quién tiene permiso para acceder a determinados recursos mediante roles y permisos de IAM.

Consulta la documentación de gestión de identidades y accesos en Iniciar sesión, donde se proporcionan instrucciones para iniciar sesión en la consola de GDC o en la CLI de gdcloud y usar kubectl para acceder a tus cargas de trabajo.

Roles predefinidos para recursos de máquinas virtuales

Para crear máquinas virtuales y discos de máquinas virtuales en un proyecto, solicita los permisos correspondientes al administrador de IAM del proyecto en cuestión. Para gestionar máquinas virtuales, el administrador de gestión de identidades y accesos de tu proyecto puede asignarte los siguientes roles predefinidos:

Administrador de máquinas virtuales del proyecto: gestiona las VMs en el espacio de nombres del proyecto.
Administrador de imágenes de máquina virtual de proyecto: gestiona las imágenes de máquina virtual en el espacio de nombres del proyecto.

Para ver una lista de todos los roles predefinidos de los operadores de aplicaciones, consulta las descripciones de los roles.

A continuación, se muestran los roles comunes predefinidos para las VMs. Para obtener información sobre los roles habituales, consulta Roles habituales.

Visor de tipos de VM: tiene acceso de lectura a los tipos de VM predefinidos.
Visor de imágenes públicas: tiene acceso de lectura a las imágenes que proporciona el dispositivo aislado de GDC.

Para conceder o recibir acceso a recursos de máquinas virtuales, consulta Conceder acceso a recursos de proyectos.

Verificar el acceso de los usuarios a los recursos de la VM

Inicia sesión como el usuario que solicita o verifica los permisos.
Comprueba si tú o el usuario podéis crear máquinas virtuales:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Sustituye las variables por las siguientes definiciones.

Variable Sustitución

MANAGEMENT_API_SERVER La ruta kubeconfig del servidor de la API Management de gdcloud auth login

PROJECT para crear imágenes de VM

Si el resultado es yes, tienes permiso para crear una VM en el proyecto PROJECT.
Si el resultado es no, significa que no tienes permisos. Ponte en contacto con el administrador de gestión de identidades y accesos del proyecto y solicita que te asigne el rol de administrador de máquinas virtuales del proyecto (project-vm-admin).
Opcional: Comprueba si los usuarios tienen acceso a imágenes de VM a nivel de proyecto y si pueden crear y usar recursos VirtualMachineImage a nivel de proyecto:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Sustituye las variables por las siguientes definiciones.

Variable Sustitución

MANAGEMENT_API_SERVER Ruta del servidor de la API Management kubeconfig

PROJECT Nombre del proyecto en el que se crean las imágenes de VM
- Si el resultado es yes, el usuario tiene permisos para acceder a imágenes de VM personalizadas en el proyecto PROJECT.
- Si el resultado es no, significa que no tienes permisos. Ponte en contacto con tu administrador de gestión de identidades y accesos de proyectos y solicita que te asigne el rol Administrador de imágenes de máquinas virtuales de proyectos (project-vm-image-admin).

Variable	Sustitución
`MANAGEMENT_API_SERVER`	La ruta `kubeconfig` del servidor de la API Management de `gdcloud auth login`
`PROJECT`	para crear imágenes de VM

Variable	Sustitución
`MANAGEMENT_API_SERVER`	Ruta del servidor de la API Management `kubeconfig`
`PROJECT`	Nombre del proyecto en el que se crean las imágenes de VM

Preparación de permisos de gestión de identidades y accesos Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.