Antes de realizar tareas en máquinas virtuales (VM) en el dispositivo aislado de Google Distributed Cloud (GDC), debes tener los roles y permisos adecuados de administración de identidades y accesos (IAM).
El dispositivo aislado de GDC ofrece Identity and Access Management (IAM) para brindar acceso detallado a recursos específicos del dispositivo aislado de GDC y evitar el acceso no deseado a otros recursos. IAM opera según el principio de seguridad de privilegio mínimo y proporciona control sobre quién, o qué identidad, tiene qué permisos, o qué roles, y a qué recursos. Debes tener los roles y permisos necesarios asignados antes de poder trabajar con máquinas virtuales (VMs).
Antes de comenzar
Para usar los comandos de la CLI de gdcloud, completa los pasos necesarios de las secciones de la interfaz de línea de comandos (CLI) de gdcloud. Todos los comandos para el dispositivo aislado de Google Distributed Cloud usan las CLI de gdcloud
o kubectl
, y requieren un entorno de sistema operativo (SO).
Obtén las rutas de acceso a los archivos kubeconfig
Ejecuta
gdcloud auth login
en el servidor de la API de Management.Registra la ruta de acceso al archivo generado. A continuación, se muestra un ejemplo de la ruta de acceso para registrar:
/tmp/admin-kubeconfig-with-user-identity.yaml
.Usa la ruta de acceso para reemplazar
MANAGEMENT_API_SERVER
en estas instrucciones.
Acerca de IAM
El dispositivo aislado de GDC ofrece Identity and Access Management (IAM) para brindar acceso detallado a recursos específicos del dispositivo aislado de GDC y evitar el acceso no deseado a otros recursos. IAM opera según el principio de seguridad de privilegio mínimo y proporciona control sobre quién tiene permiso para acceder a recursos determinados a través de roles y permisos de IAM.
Lee la documentación de IAM en Acceder, que proporciona instrucciones para acceder a la consola de GDC o a la CLI de gdcloud y usar kubectl
para acceder a tus cargas de trabajo.
Roles predefinidos para recursos de VM
Para crear VMs y discos de VM en un proyecto, solicita los permisos correspondientes al administrador de IAM del proyecto. Para administrar máquinas virtuales, el administrador de IAM del proyecto puede asignarte los siguientes roles predefinidos:
- Administrador de Project VirtualMachine: Administra las VMs en el espacio de nombres del proyecto.
- Administrador de imágenes de VirtualMachine del proyecto: Administra las imágenes de VM en el espacio de nombres del proyecto.
Para obtener una lista de todos los roles predefinidos para los operadores de aplicaciones (AO), consulta Descripciones de roles.
A continuación, se indican los roles comunes predefinidos para las VMs. Para obtener detalles sobre los roles comunes, consulta Roles comunes.
- Visualizador de tipos de VM: Tiene acceso de lectura a los tipos de VM predefinidos.
- Visualizador de imágenes públicas: Tiene acceso de lectura a las imágenes que proporciona el dispositivo aislado de GDC.
Para otorgar o recibir acceso a los recursos de la VM, consulta Otorga acceso a los recursos del proyecto.
Verifica el acceso del usuario a los recursos de la VM
Inicia sesión como el usuario que solicita o verifica los permisos.
Verifica si tú o el usuario pueden crear máquinas virtuales:
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
Reemplaza las variables con las siguientes definiciones.
Variable Reemplazo MANAGEMENT_API_SERVER
Ruta de acceso kubeconfig
del servidor de la API de Management desdegdcloud auth login
PROJECT
Crear imágenes de VM Si el resultado es
yes
, tienes permiso para crear una VM en el proyectoPROJECT
.
Si el resultado esno
, significa que no tienes permisos. Comunícate con tu administrador de IAM del proyecto y solicita que te asignen el rol de administrador de máquinas virtuales del proyecto (project-vm-admin
).Opcional: Verifica si los usuarios tienen acceso a las imágenes de VM a nivel del proyecto y si pueden crear y usar recursos
VirtualMachineImage
a nivel del proyecto:kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
Reemplaza las variables con las siguientes definiciones.
Variable Reemplazo MANAGEMENT_API_SERVER
La ruta de acceso kubeconfig
del servidor de la API de ManagementPROJECT
Nombre del proyecto en el que se crean las imágenes de VM - Si el resultado es
yes
, el usuario tiene permisos para acceder a imágenes de VM personalizadas en el proyecto PROJECT. - Si el resultado es
no
, significa que no tienes permisos. Comunícate con tu rol de administrador de IAM del proyecto y solicita que se te asigne el rol de administrador de imágenes de máquinas virtuales del proyecto (project-vm-image-admin
).
- Si el resultado es