Preparação das permissões do IAM

Antes de realizar tarefas em máquinas virtuais (VMs) no dispositivo isolado do Google Distributed Cloud (GDC), você precisa ter as funções e permissões de identidade e acesso (IAM) adequadas.

O appliance isolado do GDC oferece Identity and Access Management (IAM) para acesso granular a recursos específicos do appliance isolado do GDC e impede o acesso indesejado a outros recursos. O IAM opera com base no princípio de segurança de privilégio mínimo e oferece controle sobre quem, ou identidade, tem quais permissões, ou papéis, e para quais recursos. Você precisa ter as funções e permissões necessárias atribuídas antes de trabalhar com máquinas virtuais (VMs).

Antes de começar

Para usar os comandos da CLI gdcloud, conclua as etapas necessárias nas seções da interface de linha de comando (CLI) gdcloud. Todos os comandos para o appliance isolado do Google Distributed Cloud usam a CLI gdcloud ou kubectl e exigem um ambiente de sistema operacional (SO).

Extrair os caminhos dos arquivos kubeconfig

  1. Execute gdcloud auth login no servidor da API Management.

    1. Registre o caminho para o arquivo gerado. Confira um exemplo do caminho para gravar:
      /tmp/admin-kubeconfig-with-user-identity.yaml.

    2. Use o caminho para substituir MANAGEMENT_API_SERVER nestas instruções.

Sobre o IAM

O appliance isolado do GDC oferece Identity and Access Management (IAM) para acesso granular a recursos específicos do appliance isolado do GDC e impede o acesso indesejado a outros recursos. O IAM opera com o princípio de segurança de privilégio mínimo e oferece controle sobre quem tem permissão para determinados recursos usando papéis e permissões do IAM.

Leia a documentação do IAM em Fazer login, que fornece instruções para fazer login no console do GDC ou na CLI gdcloud e usar kubectl para acessar suas cargas de trabalho.

Papéis predefinidos para recursos de VM

Para criar VMs e discos de VM em um projeto, peça as permissões adequadas ao administrador do IAM do projeto. Para gerenciar máquinas virtuais, o administrador do IAM do projeto pode atribuir a você os seguintes papéis predefinidos:

  • Administrador de VirtualMachine do projeto: gerencia VMs no namespace do projeto.
  • Administrador de imagens de máquina virtual do projeto: gerencia imagens de VM no namespace do projeto.

Para uma lista de todos os papéis predefinidos para operadores de aplicativos (AO), consulte Descrições de papéis.

Confira a seguir os papéis comuns predefinidos para VMs. Para detalhes sobre papéis comuns, consulte Papéis comuns.

  • Leitor de tipo de VM: tem acesso de leitura a tipos de VM predefinidos.
  • Visualizador de imagens públicas: tem acesso de leitura às imagens fornecidas pelo appliance com isolamento físico do GDC.

Para conceder ou receber acesso a recursos de VM, consulte Conceder acesso a recursos do projeto.

Verificar o acesso do usuário aos recursos da VM

  1. Faça login como o usuário que está solicitando ou verificando permissões.

  2. Verifique se você ou o usuário podem criar máquinas virtuais:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT

    Substitua as variáveis usando as seguintes definições.

    Variável Substituição
    MANAGEMENT_API_SERVER O caminho kubeconfig do servidor da API Management de gdcloud auth login
    PROJECT para criar imagens de VM

    Se o resultado for yes, você terá permissões para criar uma VM no projeto PROJECT.
    Se a saída for no, você não terá permissões. Entre em contato com o administrador do IAM do projeto e peça para ser atribuído à função de administrador de máquinas virtuais do projeto (project-vm-admin).

  3. Opcional: verifique se os usuários têm acesso a imagens de VM no nível do projeto e se podem criar e usar recursos VirtualMachineImage no nível do projeto:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT

    Substitua as variáveis usando as seguintes definições.

    Variável Substituição
    MANAGEMENT_API_SERVER O caminho kubeconfig do servidor da API Management
    PROJECT O nome do projeto em que as imagens de VM são criadas
    • Se a saída for yes, o usuário terá permissões para acessar imagens de VM personalizadas no projeto PROJECT.
    • Se a saída for no, você não terá permissões. Entre em contato com seu administrador do IAM do projeto e peça para atribuir a você o papel de administrador de imagens de máquinas virtuais do projeto (project-vm-image-admin).