Google Distributed Cloud (GDC) air-gapped propose Identity and Access Management (IAM) pour un accès précis à des ressources Distributed Cloud spécifiques et empêche tout accès indésirable à d'autres ressources. IAM fonctionne selon le principe de sécurité du moindre privilège et contrôle qui peut accéder à des ressources données à l'aide de rôles et d'autorisations IAM.
Un rôle est un ensemble d'autorisations spécifiques mappées à certaines actions sur les ressources et attribuées à des sujets individuels, tels que des utilisateurs, des groupes d'utilisateurs ou des comptes de service. Par conséquent, vous devez disposer des rôles et autorisations IAM appropriés pour déployer Gemini sur Distributed Cloud.
Pour en savoir plus sur les rôles d'opérateur d'infrastructure (IO), consultez Définitions des rôles.
Le tableau suivant décrit les autorisations attribuées aux rôles prédéfinis requis pour les déploiements Gemini :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation |
|---|---|---|
| Administrateur de l'organisation | organization-admin |
Créez et gérez des ressources d'organisation dans le cluster d'administrateur racine. |
| Écran de l'administrateur SERV | serv-admin-monitor |
Surveillez la disponibilité du serveur Bare Metal GPU nécessaire (d3-highgpu1-256-gdc-metal). |
| Distributeur d'artefacts Gemini | gemini-artifacts-distributor |
Lecture et écriture dans les buckets de stockage d'objets pour les ressources gemini-model-artifact-registry. |
| Lecteur de clusters d'artefacts Gemini | gemini-artifacts-distributor-cluster-role |
Lire les buckets de stockage d'objets dans l'espace de noms du cluster. |
| Administrateur de secrets Inference Gateway | inference-gateway-secret-admin |
Créez une ressource Secret dans l'espace de noms aics-system. |
| Administrateur de projet IAM | project-iam-admin |
Créez un projet dans l'organisation Gemini. |