Persiapan izin IAM

Sebelum melakukan tugas di virtual machine (VM) dalam appliance air-gapped Google Distributed Cloud (GDC), Anda harus memiliki peran dan izin identity and access (IAM) yang tepat.

Perangkat air-gapped GDC menawarkan Identity and Access Management (IAM) untuk akses terperinci ke resource perangkat air-gapped GDC tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM beroperasi berdasarkan prinsip keamanan hak istimewa terendah dan memberikan kontrol atas siapa, atau identitas, yang memiliki izin apa, atau peran, dan ke resource mana. Anda harus memiliki peran dan izin yang diperlukan yang ditetapkan kepada Anda sebelum dapat menggunakan mesin virtual (VM).

Sebelum memulai

Untuk menggunakan perintah gdcloud CLI, selesaikan langkah-langkah yang diperlukan dari bagian antarmuka command line (CLI) gdcloud. Semua perintah untuk appliance air-gapped Google Distributed Cloud menggunakan CLI gdcloud atau kubectl, dan memerlukan lingkungan sistem operasi (OS).

Mendapatkan jalur file kubeconfig

  1. Jalankan gdcloud auth login ke server Management API.

    1. Catat jalur ke file yang dihasilkan. Berikut adalah contoh jalur untuk merekam:
      /tmp/admin-kubeconfig-with-user-identity.yaml.

    2. Gunakan jalur untuk mengganti MANAGEMENT_API_SERVER dalam petunjuk ini.

Tentang IAM

Perangkat air-gapped GDC menawarkan Identity and Access Management (IAM) untuk akses terperinci ke resource perangkat air-gapped GDC tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM beroperasi berdasarkan prinsip keamanan hak istimewa terendah dan memberikan kontrol atas siapa yang memiliki izin untuk mengakses resource tertentu menggunakan peran dan izin IAM.

Baca dokumentasi IAM di bagian Login, yang memberikan petunjuk untuk login ke konsol GDC atau gdcloud CLI dan menggunakan kubectl untuk mengakses beban kerja Anda.

Peran bawaan untuk resource VM

Untuk membuat VM dan disk VM dalam project, minta izin yang sesuai dari Admin IAM Project Anda untuk project tertentu. Untuk mengelola virtual machine, Admin IAM Project Anda dapat memberi Anda peran bawaan berikut:

  • Project VirtualMachine Admin: Mengelola VM di namespace project.
  • Project VirtualMachine Image Admin: Mengelola image VM di namespace project.

Untuk mengetahui daftar semua peran bawaan untuk Operator Aplikasi (AO), lihat Deskripsi peran.

Berikut adalah peran umum bawaan untuk VM. Untuk mengetahui detail tentang peran umum, lihat Peran umum.

  • Pelihat jenis VM: memiliki akses baca ke jenis VM yang telah ditentukan sebelumnya.
  • Pelihat gambar publik: memiliki akses baca ke gambar yang disediakan oleh perangkat GDC dengan air gap.

Untuk memberikan atau menerima akses ke resource VM, lihat Memberikan akses ke resource project.

Memverifikasi akses pengguna ke resource VM

  1. Login sebagai pengguna yang meminta atau memverifikasi izin.

  2. Verifikasi apakah Anda, atau pengguna, dapat membuat mesin virtual:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
    

    Ganti variabel dengan menggunakan definisi berikut.

    Variabel Penggantian
    MANAGEMENT_API_SERVER Jalur kubeconfig server Management API dari gdcloud auth login
    PROJECT untuk membuat image VM

    Jika outputnya adalah yes, Anda memiliki izin untuk membuat VM di project PROJECT.
    Jika outputnya adalah no, berarti Anda tidak memiliki izin. Hubungi Admin IAM Project Anda dan minta penetapan ke peran Project VirtualMachine Admin (project-vm-admin).

  3. Opsional: Verifikasi apakah pengguna memiliki akses ke image VM tingkat project dan apakah mereka dapat membuat dan menggunakan resource VirtualMachineImage di tingkat project:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
    
    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
    

    Ganti variabel dengan menggunakan definisi berikut.

    Variabel Penggantian
    MANAGEMENT_API_SERVER Jalur kubeconfig server Management API
    PROJECT Nama project tempat image VM dibuat
    • Jika outputnya adalah yes, pengguna memiliki izin untuk mengakses image VM kustom di project PROJECT.
    • Jika outputnya adalah no, berarti Anda tidak memiliki izin. Hubungi peran Project IAM Admin Anda dan minta penetapan ke peran Project VirtualMachine Image Admin (project-vm-image-admin).