Google Distributed Cloud (GDC) 에어갭은 특정 Distributed Cloud 리소스에 대한 세분화된 액세스를 위한 Identity and Access Management (IAM)를 제공하고 다른 리소스에 대한 무단 액세스를 방지합니다. IAM은 최소 권한의 보안 원칙에 따라 작동하며 IAM 역할과 권한을 사용하여 특정 리소스에 액세스할 수 있는 사용자를 제어합니다.
역할은 리소스에 대한 특정 작업에 매핑되고 사용자, 사용자 그룹 또는 서비스 계정과 같은 개별 주체에 할당된 특정 권한의 모음입니다. 따라서 Distributed Cloud에 Gemini를 배포하려면 적절한 IAM 역할과 권한이 있어야 합니다.
인프라 운영자 (IO) 역할에 대한 자세한 내용은 역할 정의를 참고하세요.
다음 표에는 Gemini 배포에 필요한 사전 정의된 역할에 할당된 권한에 관한 설명이 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 |
|---|---|---|
| 조직 관리자 | organization-admin |
루트 관리자 클러스터에서 조직 리소스를 만들고 관리합니다. |
| SERV 관리자 모니터 | serv-admin-monitor |
필요한 GPU 베어메탈 서버 (d3-highgpu1-256-gdc-metal)의 가용성을 모니터링합니다. |
| Gemini 아티팩트 배포자 | gemini-artifacts-distributor |
gemini-model-artifact-registry 리소스의 객체 스토리지 버킷에 대한 읽기 및 쓰기 |
| Gemini 아티팩트 클러스터 뷰어 | gemini-artifacts-distributor-cluster-role |
클러스터 네임스페이스에서 객체 스토리지 버킷을 읽습니다. |
| 추론 게이트웨이 보안 비밀 관리자 | inference-gateway-secret-admin |
aics-system 네임스페이스에 Secret 리소스를 만듭니다. |
| 프로젝트 IAM 관리자 | project-iam-admin |
Gemini 조직에 프로젝트를 만듭니다. |