Google Distributed Cloud (GDC) air-gapped ofrece gestión de identidades y accesos (IAM) para un acceso granular a recursos específicos de Distributed Cloud e impide el acceso no deseado a otros recursos. IAM se basa en el principio de seguridad del privilegio mínimo y controla quién puede acceder a determinados recursos mediante roles y permisos de IAM.
Un rol es un conjunto de permisos específicos asignados a determinadas acciones en recursos y asignados a sujetos concretos, como usuarios, grupos de usuarios o cuentas de servicio. Por lo tanto, debes tener los roles y permisos de gestión de identidades y accesos adecuados para desplegar Gemini en Distributed Cloud.
Para obtener más información sobre los roles de operador de infraestructura (IO), consulta las definiciones de roles.
En la siguiente tabla se describen los permisos asignados a los roles predefinidos necesarios para las implementaciones de Gemini:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| Administrador de la organización | organization-admin |
Crea y gestiona recursos de organización en el clúster de administrador raíz. |
| Monitor de administrador de SERV | serv-admin-monitor |
Monitoriza la disponibilidad del servidor bare metal con GPU necesario (d3-highgpu1-256-gdc-metal). |
| Distribuidor de artefactos de Gemini | gemini-artifacts-distributor |
Leer y escribir en los segmentos de almacenamiento de objetos de los recursos de gemini-model-artifact-registry. |
| Gemini Artifact Cluster Viewer | gemini-artifacts-distributor-cluster-role |
Leer los segmentos de almacenamiento de objetos en el espacio de nombres del clúster. |
| Administrador de secretos de Inference Gateway | inference-gateway-secret-admin |
Crea un recurso Secret en el espacio de nombres aics-system. |
| Administrador de gestión de identidades y accesos de proyectos | project-iam-admin |
Crea un proyecto en la organización de Gemini. |