Questa pagina è stata tradotta dall'API Cloud Translation.

Preparazione delle autorizzazioni IAM

Prima di eseguire attività sulle macchine virtuali (VM) nell'appliance air-gap di Google Distributed Cloud (GDC), devi disporre dei ruoli e delle autorizzazioni di Identity and Access Management (IAM) corretti.

L'appliance air-gap GDC offre Identity and Access Management (IAM) per l'accesso granulare a risorse specifiche dell'appliance air-gap GDC e impedisce l'accesso indesiderato ad altre risorse. IAM si basa sul principio di sicurezza del privilegio minimo e fornisce il controllo su chi, o identità, ha quali autorizzazioni, o ruoli, e a quali risorse. Prima di poter utilizzare le macchine virtuali (VM), devi disporre dei ruoli e delle autorizzazioni necessari.

Prima di iniziare

Per utilizzare i comandi gcloud CLI, completa i passaggi richiesti nelle sezioni Interfaccia a riga di comando (CLI) gcloud. Tutti i comandi per l'appliance isolata di Google Distributed Cloud utilizzano la CLI gdcloud o kubectl e richiedono un ambiente del sistema operativo.

Recupera i percorsi dei file kubeconfig

Esegui gdcloud auth login sul server dell'API Management.
1. Registra il percorso del file generato. Di seguito è riportato un esempio di percorso del record:
  /tmp/admin-kubeconfig-with-user-identity.yaml.
2. Utilizza il percorso per sostituire MANAGEMENT_API_SERVER in queste istruzioni.

Informazioni su IAM

L'appliance air-gap GDC offre Identity and Access Management (IAM) per l'accesso granulare a risorse specifiche dell'appliance air-gap GDC e impedisce l'accesso indesiderato ad altre risorse. IAM opera in base al principio di sicurezza del privilegio minimo e fornisce il controllo su chi ha l'autorizzazione per determinate risorse utilizzando ruoli e autorizzazioni IAM.

Leggi la documentazione IAM in Accedi, che fornisce istruzioni per accedere alla console GDC o a gcloud CLI e utilizzare kubectl per accedere ai tuoi carichi di lavoro.

Ruoli predefiniti per le risorse VM

Per creare VM e dischi VM in un progetto, richiedi le autorizzazioni appropriate all'amministratore IAM progetto per un determinato progetto. Per gestire le macchine virtuali, l'amministratore IAM del progetto può assegnarti i seguenti ruoli predefiniti:

Amministratore VirtualMachine progetto: gestisce le VM nello spazio dei nomi del progetto.
Amministratore immagini macchina virtuale progetto: gestisce le immagini VM nello spazio dei nomi del progetto.

Per un elenco di tutti i ruoli predefiniti per gli operatori delle applicazioni (AO), consulta Descrizioni dei ruoli.

Di seguito sono riportati i ruoli comuni predefiniti per le VM. Per informazioni dettagliate sui ruoli comuni, vedi Ruoli comuni.

Visualizzatore tipi di VM: dispone dell'accesso in lettura ai tipi di VM predefiniti.
Visualizzatore di immagini pubbliche: dispone dell'accesso in lettura alle immagini fornite dall'appliance GDC con air gap.

Per concedere o ricevere l'accesso alle risorse VM, consulta Concedere l'accesso alle risorse del progetto.

Verificare l'accesso degli utenti alle risorse VM

Accedi come utente che richiede o verifica le autorizzazioni.
Verifica se tu o l'utente potete creare macchine virtuali:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
```
Sostituisci le variabili utilizzando le seguenti definizioni.

Variabile Sostituzione

MANAGEMENT_API_SERVER Il percorso del server API Management kubeconfig da gdcloud auth login

PROJECT per creare immagini VM

Se l'output è yes, hai le autorizzazioni per creare una VM nel progetto PROJECT.
Se l'output è no, non disponi delle autorizzazioni. Contatta l'amministratore IAM del progetto e richiedi l'assegnazione al ruolo Amministratore VirtualMachine del progetto (project-vm-admin).
(Facoltativo) Verifica se gli utenti hanno accesso alle immagini VM a livello di progetto e se possono creare e utilizzare risorse VirtualMachineImage a livello di progetto:
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
```
```
kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
```
Sostituisci le variabili utilizzando le seguenti definizioni.

Variabile Sostituzione

MANAGEMENT_API_SERVER Il percorso del server API Management kubeconfig

PROJECT Il nome del progetto in cui vengono create le immagini VM
- Se l'output è yes, l'utente dispone delle autorizzazioni per accedere alle immagini VM personalizzate nel progetto PROJECT.
- Se l'output è no, non disponi delle autorizzazioni. Contatta il tuo ruolo IAM Admin del progetto e richiedi l'assegnazione al ruolo Project VirtualMachine Image Admin (project-vm-image-admin).

Variabile	Sostituzione
`MANAGEMENT_API_SERVER`	Il percorso del server API Management `kubeconfig` da `gdcloud auth login`
`PROJECT`	per creare immagini VM

Preparazione delle autorizzazioni IAM Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.