Sebelum melakukan tugas di virtual machine (VM) dalam appliance air-gapped Google Distributed Cloud (GDC), Anda harus memiliki peran dan izin identity and access (IAM) yang tepat.
Perangkat air-gapped GDC menawarkan Identity and Access Management (IAM) untuk akses terperinci ke resource perangkat air-gapped GDC tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM beroperasi berdasarkan prinsip keamanan hak istimewa terendah dan memberikan kontrol atas siapa, atau identitas, yang memiliki izin apa, atau peran, dan ke resource mana. Anda harus memiliki peran dan izin yang diperlukan yang ditetapkan kepada Anda sebelum dapat menggunakan mesin virtual (VM).
Sebelum memulai
Untuk menggunakan perintah gdcloud CLI, selesaikan langkah-langkah yang diperlukan dari bagian
antarmuka command line (CLI) gdcloud. Semua perintah untuk appliance air-gapped Google Distributed Cloud menggunakan CLI gdcloud
atau kubectl
, dan memerlukan lingkungan sistem operasi (OS).
Mendapatkan jalur file kubeconfig
Jalankan
gdcloud auth login
ke server Management API.Catat jalur ke file yang dihasilkan. Berikut adalah contoh jalur untuk merekam:
/tmp/admin-kubeconfig-with-user-identity.yaml
.Gunakan jalur untuk mengganti
MANAGEMENT_API_SERVER
dalam petunjuk ini.
Tentang IAM
Perangkat air-gapped GDC menawarkan Identity and Access Management (IAM) untuk akses terperinci ke resource perangkat air-gapped GDC tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM beroperasi berdasarkan prinsip keamanan hak istimewa terendah dan memberikan kontrol atas siapa yang memiliki izin untuk mengakses resource tertentu menggunakan peran dan izin IAM.
Baca dokumentasi IAM di bagian
Login, yang memberikan
petunjuk untuk login ke konsol GDC atau
gdcloud CLI dan menggunakan kubectl
untuk mengakses beban kerja Anda.
Peran bawaan untuk resource VM
Untuk membuat VM dan disk VM dalam project, minta izin yang sesuai dari Admin IAM Project Anda untuk project tertentu. Untuk mengelola virtual machine, Admin IAM Project Anda dapat memberi Anda peran bawaan berikut:
- Project VirtualMachine Admin: Mengelola VM di namespace project.
- Project VirtualMachine Image Admin: Mengelola image VM di namespace project.
Untuk mengetahui daftar semua peran bawaan untuk Operator Aplikasi (AO), lihat Deskripsi peran.
Berikut adalah peran umum bawaan untuk VM. Untuk mengetahui detail tentang peran umum, lihat Peran umum.
- Pelihat jenis VM: memiliki akses baca ke jenis VM yang telah ditentukan sebelumnya.
- Pelihat gambar publik: memiliki akses baca ke gambar yang disediakan oleh perangkat GDC dengan air gap.
Untuk memberikan atau menerima akses ke resource VM, lihat Memberikan akses ke resource project.
Memverifikasi akses pengguna ke resource VM
Login sebagai pengguna yang meminta atau memverifikasi izin.
Verifikasi apakah Anda, atau pengguna, dapat membuat mesin virtual:
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
Ganti variabel dengan menggunakan definisi berikut.
Variabel Penggantian MANAGEMENT_API_SERVER
Jalur kubeconfig
server Management API darigdcloud auth login
PROJECT
untuk membuat image VM Jika outputnya adalah
yes
, Anda memiliki izin untuk membuat VM di projectPROJECT
.
Jika outputnya adalahno
, berarti Anda tidak memiliki izin. Hubungi Admin IAM Project Anda dan minta penetapan ke peran Project VirtualMachine Admin (project-vm-admin
).Opsional: Verifikasi apakah pengguna memiliki akses ke image VM tingkat project dan apakah mereka dapat membuat dan menggunakan resource
VirtualMachineImage
di tingkat project:kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
Ganti variabel dengan menggunakan definisi berikut.
Variabel Penggantian MANAGEMENT_API_SERVER
Jalur kubeconfig
server Management APIPROJECT
Nama project tempat image VM dibuat - Jika outputnya adalah
yes
, pengguna memiliki izin untuk mengakses image VM kustom di project PROJECT. - Jika outputnya adalah
no
, berarti Anda tidak memiliki izin. Hubungi peran Project IAM Admin Anda dan minta penetapan ke peran Project VirtualMachine Image Admin (project-vm-image-admin
).
- Jika outputnya adalah