Cette page a été traduite par l'API Cloud Translation.

Préparation des autorisations IAM

Avant d'effectuer des tâches sur des machines virtuelles (VM) dans l'appliance Google Distributed Cloud (GDC) isolée, vous devez disposer des rôles et autorisations IAM (Identity and Access Management) appropriés.

L'appliance GDC air-gapped propose Identity and Access Management (IAM) pour un accès précis à des ressources spécifiques de l'appliance GDC air-gapped et empêche tout accès indésirable à d'autres ressources. IAM fonctionne selon le principe de sécurité du moindre privilège et permet de contrôler qui (identité) dispose de quelles autorisations (rôles) et pour quelles ressources. Vous devez disposer des rôles et autorisations nécessaires pour pouvoir utiliser les machines virtuelles (VM).

Avant de commencer

Pour utiliser les commandes gdcloud CLI, suivez les étapes requises dans les sections Interface de ligne de commande (CLI) gdcloud. Toutes les commandes de l'appliance Google Distributed Cloud isolée utilisent les CLI gdcloud ou kubectl et nécessitent un environnement de système d'exploitation (OS).

Obtenir les chemins d'accès aux fichiers kubeconfig

Exécutez gdcloud auth login sur le serveur de l'API Management.
1. Notez le chemin d'accès au fichier généré. Voici un exemple de chemin à enregistrer :
  /tmp/admin-kubeconfig-with-user-identity.yaml.
2. Utilisez le chemin d'accès pour remplacer MANAGEMENT_API_SERVER dans ces instructions.

À propos de Cloud IAM

L'appliance GDC air-gapped propose Identity and Access Management (IAM) pour un accès précis à des ressources spécifiques de l'appliance GDC air-gapped et empêche tout accès indésirable à d'autres ressources. IAM fonctionne selon le principe de sécurité du moindre privilège et permet de contrôler qui est autorisé à accéder à des ressources spécifiques à l'aide de rôles et d'autorisations IAM.

Consultez la documentation IAM dans Se connecter, qui fournit des instructions pour vous connecter à la console GDC ou à la CLI gdcloud et utiliser kubectl pour accéder à vos charges de travail.

Rôles prédéfinis pour les ressources de VM

Pour créer des VM et des disques de VM dans un projet, demandez les autorisations appropriées à l'administrateur IAM du projet concerné. Pour gérer les machines virtuelles, votre administrateur IAM de projet peut vous attribuer les rôles prédéfinis suivants :

Administrateur VirtualMachine du projet : gère les VM dans l'espace de noms du projet.
Administrateur d'images de machines virtuelles du projet : gère les images de VM dans l'espace de noms du projet.

Pour obtenir la liste de tous les rôles prédéfinis pour les opérateurs d'application (AO), consultez Descriptions des rôles.

Voici les rôles courants prédéfinis pour les VM. Pour en savoir plus sur les rôles courants, consultez Rôles courants.

Lecteur de types de VM : dispose d'un accès en lecture aux types de VM prédéfinis.
Lecteur d'images publiques : dispose d'un accès en lecture aux images fournies par l'appliance GDC sous air gap.

Pour accorder ou recevoir l'accès aux ressources de VM, consultez Accorder l'accès aux ressources du projet.

Vérifier l'accès des utilisateurs aux ressources de VM

Connectez-vous en tant qu'utilisateur demandant ou vérifiant les autorisations.
Vérifiez si vous ou l'utilisateur pouvez créer des machines virtuelles :
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Remplacez les variables en utilisant les définitions suivantes.

Variable Remplacement

MANAGEMENT_API_SERVER Chemin d'accès kubeconfig du serveur de l'API Management à partir de gdcloud auth login

PROJECT pour créer des images de VM

Si le résultat est yes, vous disposez des autorisations nécessaires pour créer une VM dans le projet PROJECT.
Si le résultat est no, cela signifie que vous ne disposez pas des autorisations nécessaires. Contactez votre administrateur IAM de projet et demandez-lui de vous attribuer le rôle Administrateur de machines virtuelles de projet (project-vm-admin).
Facultatif : Vérifiez si les utilisateurs ont accès aux images de VM au niveau du projet et s'ils peuvent créer et utiliser des ressources VirtualMachineImage au niveau du projet :
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Remplacez les variables en utilisant les définitions suivantes.

Variable Remplacement

MANAGEMENT_API_SERVER Chemin d'accès kubeconfig du serveur de l'API Management

PROJECT Nom du projet dans lequel les images de VM sont créées
- Si le résultat est yes, l'utilisateur est autorisé à accéder aux images de VM personnalisées dans le projet PROJECT.
- Si le résultat est no, cela signifie que vous ne disposez pas des autorisations nécessaires. Contactez votre administrateur IAM de projet et demandez-lui de vous attribuer le rôle Administrateur d'images de VM de projet (project-vm-image-admin).

Variable	Remplacement
`MANAGEMENT_API_SERVER`	Chemin d'accès `kubeconfig` du serveur de l'API Management à partir de `gdcloud auth login`
`PROJECT`	pour créer des images de VM

Préparation des autorisations IAM Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.