Preparação das autorizações da IAM

Antes de realizar tarefas em máquinas virtuais (MV) no Google Distributed Cloud (GDC) isolado, tem de ter as funções e as autorizações (IAM) de identidade e acesso adequadas.

Antes de começar

Para usar os comandos da CLI gdcloud, conclua os passos necessários nas secções da interface de linhas de comando (CLI) gdcloud. Todos os comandos para a utilização isolada do Google Distributed Cloud usam a CLI gdcloud ou kubectl e requerem um ambiente de sistema operativo (SO).

Obtenha o caminho do ficheiro kubeconfig

Para executar comandos no servidor da API Management, certifique-se de que tem os seguintes recursos:

  1. Inicie sessão e gere o ficheiro kubeconfig para o servidor da API Management, se não tiver um.

  2. Use o caminho para o ficheiro kubeconfig do servidor da API de gestão para substituir MANAGEMENT_API_SERVER nestas instruções.

Acerca do IAM

O Distributed Cloud oferece gestão de identidade e de acesso (IAM) para acesso detalhado a recursos específicos do Distributed Cloud e impede o acesso indesejado a outros recursos. O IAM opera com base no princípio de segurança do menor privilégio e oferece controlo sobre quem tem autorização para determinados recursos através de funções e autorizações do IAM.

Leia a documentação do IAM em Iniciar sessão, que fornece instruções para iniciar sessão na consola do GDC ou na CLI gdcloud e usar kubectl para aceder às suas cargas de trabalho.

Funções predefinidas para recursos de VMs

Para criar VMs e discos de VMs num projeto, peça as autorizações adequadas ao administrador do IAM do projeto para um determinado projeto. Todas as funções de VM têm de ser associadas ao espaço de nomes do projeto onde a VM reside. Para gerir máquinas virtuais, o administrador de IAM do projeto pode atribuir-lhe as seguintes funções predefinidas:

  • Project VirtualMachine Admin project-vm-admin: gere VMs no espaço de nomes do projeto.
  • Project VirtualMachine Image Admin project-vm-image-admin: gere imagens de VMs no espaço de nomes do projeto.

Para ver uma lista de todas as funções predefinidas para operadores de aplicações (AO), consulte as descrições das funções.

Seguem-se as funções comuns predefinidas para VMs. Para ver detalhes sobre as funções comuns, consulte o artigo Funções comuns.

  • Visualizador de tipos de VMs vm-type-viewer: tem acesso de leitura a tipos de VMs predefinidos.
  • Visualizador de imagens público public-image-viewer: tem acesso de leitura a imagens fornecidas pelo GDC.

Para conceder ou receber acesso a recursos de VMs, consulte o artigo Conceda acesso a recursos do projeto.

Valide o acesso do utilizador aos recursos de VM

  1. Inicie sessão como o utilizador que está a pedir ou a validar autorizações.

  2. Verifique se você ou o utilizador consegue criar máquinas virtuais:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachines.virtualmachine.gdc.goog -n PROJECT

    Substitua as variáveis usando as seguintes definições.

    Variável Substituição
    MANAGEMENT_API_SERVER O ficheiro kubeconfig do sistema de gdcloud auth login.
    PROJECT O nome do projeto para criar imagens de VMs.
    • Se o resultado for yes, tem autorizações para criar uma VM no projeto PROJECT.
    • Se o resultado for no, não tem autorizações. Contacte o administrador do IAM do projeto e peça a atribuição à função de administrador da máquina virtual do projeto (project-vm-admin) no espaço de nomes do projeto onde reside a VM.

  3. Opcional: verifique se os utilizadores têm acesso a imagens de VMs ao nível do projeto. Por exemplo, execute os seguintes comandos para verificar se podem criar e usar recursos VirtualMachineImage ao nível do projeto:

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i get virtualmachineimages.virtualmachine.gdc.goog -n PROJECT

    kubectl --kubeconfig MANAGEMENT_API_SERVER auth can-i create virtualmachineimageimports.virtualmachine.gdc.goog -n PROJECT

    Substitua as variáveis usando as seguintes definições.

    Variável Substituição
    MANAGEMENT_API_SERVER O ficheiro kubeconfig do servidor da API Management.
    PROJECT O nome do projeto onde as imagens de VMs são criadas.
    • Se o resultado for yes, o utilizador tem autorizações para aceder a imagens de VMs personalizadas no projeto PROJECT.
    • Se o resultado for no, não tem autorizações. Contacte o administrador do IAM do projeto e peça a atribuição à função de administrador de imagens de máquinas virtuais do projeto (project-vm-image-admin) no espaço de nomes do projeto onde reside a VM.