Google Distributed Cloud(GDC)エアギャップでは、特定の Distributed Cloud リソースに対するアクセス権を詳細に設定できる Identity and Access Management(IAM)が提供されており、他のリソースへの不要なアクセスを防ぐことができます。IAM は最小権限のセキュリティ原則に基づいて動作し、IAM ロールと権限を使用して、特定のリソースにアクセスできるユーザーを制御します。
ロールは、リソースに対する特定のアクションにマッピングされ、ユーザー、ユーザー グループ、サービス アカウントなどの個々のサブジェクトに割り当てられる特定の権限の集合です。そのため、Distributed Cloud に Gemini をデプロイするには、適切な IAM ロールと権限が必要です。
インフラストラクチャ オペレーター(IO)ロールの詳細については、ロールの定義をご覧ください。
次の表に、Gemini のデプロイに必要な事前定義ロールに割り当てられた権限の説明を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 |
|---|---|---|
| 組織管理者 | organization-admin |
ルート管理クラスタで組織リソースを作成して管理します。 |
| SERV 管理モニター | serv-admin-monitor |
必要な GPU ベアメタル サーバー(d3-highgpu1-256-gdc-metal)の可用性をモニタリングします。 |
| Gemini アーティファクト ディストリビュータ | gemini-artifacts-distributor |
gemini-model-artifact-registry リソースのオブジェクト ストレージ バケットに対する読み取り / 書き込み。 |
| Gemini アーティファクト クラスタ閲覧者 | gemini-artifacts-distributor-cluster-role |
クラスタ名前空間内のオブジェクト ストレージ バケットを読み取ります。 |
| 推論 Gateway シークレット管理者 | inference-gateway-secret-admin |
aics-system Namespace に Secret リソースを作成します。 |
| プロジェクト IAM 管理者 | project-iam-admin |
Gemini 組織にプロジェクトを作成します。 |