IAM 권한 준비

Google Distributed Cloud (GDC) 에어 갭 어플라이언스에서 가상 머신 (VM)에 대한 작업을 실행하려면 적절한 ID 및 액세스(IAM) 역할과 권한이 있어야 합니다.

GDC 에어갭 어플라이언스는 특정 GDC 에어갭 어플라이언스 리소스에 대한 세분화된 액세스를 위한 ID 및 액세스 관리 (IAM)를 제공하고 다른 리소스에 대한 무단 액세스를 방지합니다. IAM은 최소 권한의 보안 원칙에 따라 작동하며 누가(ID) 어떤 권한(역할)을 갖고 어떤 리소스에 액세스할 수 있는지를 제어합니다. 가상 머신 (VM)을 사용하려면 필요한 역할과 권한이 할당되어 있어야 합니다.

시작하기 전에

gdcloud CLI 명령어를 사용하려면 gdcloud 명령줄 인터페이스 (CLI) 섹션의 필수 단계를 완료하세요. Google Distributed Cloud 오프라인 어플라이언스의 모든 명령어는 gdcloud 또는 kubectl CLI를 사용하며 운영체제 (OS) 환경이 필요합니다.

kubeconfig 파일 경로 가져오기

  1. 관리 API 서버실행 합니다.gdcloud auth login

    1. 생성된 파일의 경로를 기록합니다. 다음은 녹화할 경로의 예입니다.
      /tmp/admin-kubeconfig-with-user-identity.yaml

    2. 이 안내에서 MANAGEMENT_API_SERVER를 대체하는 경로를 사용하세요.

IAM 정보

GDC 에어갭 어플라이언스는 특정 GDC 에어갭 어플라이언스 리소스에 대한 세분화된 액세스를 위한 ID 및 액세스 관리 (IAM)를 제공하고 다른 리소스에 대한 무단 액세스를 방지합니다. IAM은 최소 권한의 보안 원칙에 따라 작동하며 IAM 역할과 권한을 사용하여 특정 리소스에 대한 권한이 있는 사용자를 제어합니다.

로그인의 IAM 문서를 읽어보세요. 여기에는 GDC 콘솔 또는 gdcloud CLI에 로그인하고 kubectl를 사용하여 워크로드에 액세스하는 방법이 설명되어 있습니다.

VM 리소스에 대한 사전 정의된 역할

프로젝트에서 VM과 VM 디스크를 만들려면 특정 프로젝트의 프로젝트 IAM 관리자에게 적절한 권한을 요청하세요. 가상 머신을 관리하려면 프로젝트 IAM 관리자가 다음 사전 정의된 역할을 할당해야 합니다.

  • 프로젝트 VirtualMachine 관리자: 프로젝트 네임스페이스의 VM을 관리합니다.
  • 프로젝트 VirtualMachine 이미지 관리자: 프로젝트 네임스페이스의 VM 이미지를 관리합니다.

애플리케이션 운영자 (AO)의 사전 정의된 역할 목록은 역할 설명을 참고하세요.

다음은 VM의 사전 정의된 일반적인 역할입니다. 일반적인 역할에 대한 자세한 내용은 일반적인 역할을 참고하세요.

  • VM 유형 뷰어: 사전 정의된 VM 유형에 대한 읽기 액세스 권한이 있습니다.
  • 공개 이미지 뷰어: GDC 에어 갭 어플라이언스에서 제공하는 이미지에 대한 읽기 액세스 권한이 있습니다.

VM 리소스에 대한 액세스 권한을 부여하거나 받으려면 프로젝트 리소스에 대한 액세스 권한 부여를 참고하세요.

VM 리소스에 대한 사용자 액세스 권한 확인

  1. 권한을 요청하거나 확인하는 사용자로 로그인합니다.

  2. 본인 또는 사용자가 가상 머신을 만들 수 있는지 확인합니다.

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT
    

    다음 정의를 사용하여 변수를 바꿉니다.

    변수 대체
    MANAGEMENT_API_SERVER gdcloud auth login의 관리 API 서버 kubeconfig 경로
    PROJECT VM 이미지를 만듭니다.

    출력이 yes이면 프로젝트 PROJECT에서 VM을 만들 권한이 있습니다.
    출력이 no이면 권한이 없는 것입니다. 프로젝트 IAM 관리자에게 문의하여 프로젝트 VirtualMachine 관리자(project-vm-admin) 역할에 할당해 달라고 요청하세요.

  3. (선택사항) 사용자에게 프로젝트 수준 VM 이미지에 대한 액세스 권한이 있는지, 프로젝트 수준에서 VirtualMachineImage 리소스를 만들고 사용할 수 있는지 확인합니다.

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT
    
    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT
    

    다음 정의를 사용하여 변수를 바꿉니다.

    변수 대체
    MANAGEMENT_API_SERVER Management API 서버 kubeconfig 경로
    PROJECT VM 이미지가 생성되는 프로젝트 이름
    • 출력이 yes이면 사용자에게 PROJECT 프로젝트의 커스텀 VM 이미지에 액세스할 권한이 있습니다.
    • 출력이 no이면 권한이 없는 것입니다. 프로젝트 IAM 관리자 역할에 문의하여 프로젝트 VirtualMachine 이미지 관리자 (project-vm-image-admin) 역할에 할당해 달라고 요청하세요.