Preparazione delle autorizzazioni IAM

Prima di eseguire attività sulle macchine virtuali (VM) nell'appliance air-gap di Google Distributed Cloud (GDC), devi disporre dei ruoli e delle autorizzazioni di Identity and Access Management (IAM) corretti.

L'appliance air-gap GDC offre Identity and Access Management (IAM) per l'accesso granulare a risorse specifiche dell'appliance air-gap GDC e impedisce l'accesso indesiderato ad altre risorse. IAM si basa sul principio di sicurezza del privilegio minimo e fornisce il controllo su chi, o identità, ha quali autorizzazioni, o ruoli, e a quali risorse. Prima di poter utilizzare le macchine virtuali (VM), devi disporre dei ruoli e delle autorizzazioni necessari.

Prima di iniziare

Per utilizzare i comandi gcloud CLI, completa i passaggi richiesti nelle sezioni Interfaccia a riga di comando (CLI) gcloud. Tutti i comandi per l'appliance isolata di Google Distributed Cloud utilizzano la CLI gdcloud o kubectl e richiedono un ambiente del sistema operativo.

Recupera i percorsi dei file kubeconfig

  1. Esegui gdcloud auth login sul server dell'API Management.

    1. Registra il percorso del file generato. Di seguito è riportato un esempio di percorso del record:
      /tmp/admin-kubeconfig-with-user-identity.yaml.

    2. Utilizza il percorso per sostituire MANAGEMENT_API_SERVER in queste istruzioni.

Informazioni su IAM

L'appliance air-gap GDC offre Identity and Access Management (IAM) per l'accesso granulare a risorse specifiche dell'appliance air-gap GDC e impedisce l'accesso indesiderato ad altre risorse. IAM opera in base al principio di sicurezza del privilegio minimo e fornisce il controllo su chi ha l'autorizzazione per determinate risorse utilizzando ruoli e autorizzazioni IAM.

Leggi la documentazione IAM in Accedi, che fornisce istruzioni per accedere alla console GDC o a gcloud CLI e utilizzare kubectl per accedere ai tuoi carichi di lavoro.

Ruoli predefiniti per le risorse VM

Per creare VM e dischi VM in un progetto, richiedi le autorizzazioni appropriate all'amministratore IAM progetto per un determinato progetto. Per gestire le macchine virtuali, l'amministratore IAM del progetto può assegnarti i seguenti ruoli predefiniti:

  • Amministratore VirtualMachine progetto: gestisce le VM nello spazio dei nomi del progetto.
  • Amministratore immagini macchina virtuale progetto: gestisce le immagini VM nello spazio dei nomi del progetto.

Per un elenco di tutti i ruoli predefiniti per gli operatori delle applicazioni (AO), consulta Descrizioni dei ruoli.

Di seguito sono riportati i ruoli comuni predefiniti per le VM. Per informazioni dettagliate sui ruoli comuni, vedi Ruoli comuni.

  • Visualizzatore tipi di VM: dispone dell'accesso in lettura ai tipi di VM predefiniti.
  • Visualizzatore di immagini pubbliche: dispone dell'accesso in lettura alle immagini fornite dall'appliance GDC con air gap.

Per concedere o ricevere l'accesso alle risorse VM, consulta Concedere l'accesso alle risorse del progetto.

Verificare l'accesso degli utenti alle risorse VM

  1. Accedi come utente che richiede o verifica le autorizzazioni.

  2. Verifica se tu o l'utente potete creare macchine virtuali:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
    

    Sostituisci le variabili utilizzando le seguenti definizioni.

    Variabile Sostituzione
    MANAGEMENT_API_SERVER Il percorso del server API Management kubeconfig da gdcloud auth login
    PROJECT per creare immagini VM

    Se l'output è yes, hai le autorizzazioni per creare una VM nel progetto PROJECT.
    Se l'output è no, non disponi delle autorizzazioni. Contatta l'amministratore IAM del progetto e richiedi l'assegnazione al ruolo Amministratore VirtualMachine del progetto (project-vm-admin).

  3. (Facoltativo) Verifica se gli utenti hanno accesso alle immagini VM a livello di progetto e se possono creare e utilizzare risorse VirtualMachineImage a livello di progetto:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
    
    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
    

    Sostituisci le variabili utilizzando le seguenti definizioni.

    Variabile Sostituzione
    MANAGEMENT_API_SERVER Il percorso del server API Management kubeconfig
    PROJECT Il nome del progetto in cui vengono create le immagini VM
    • Se l'output è yes, l'utente dispone delle autorizzazioni per accedere alle immagini VM personalizzate nel progetto PROJECT.
    • Se l'output è no, non disponi delle autorizzazioni. Contatta il tuo ruolo IAM Admin del progetto e richiedi l'assegnazione al ruolo Project VirtualMachine Image Admin (project-vm-image-admin).