Google Distributed Cloud (GDC) 空气隔离环境提供 Identity and Access Management (IAM),可让您授予对特定 Distributed Cloud 资源的细化访问权限,并防止对其他资源进行不必要的访问。IAM 遵循最小权限安全原则,并使用 IAM 角色和权限来控制哪些用户可以访问指定资源。
角色是指一组与资源上的特定操作相关联的特定权限,可分配给用户、用户群组或服务账号等各个正文。因此,您必须拥有适当的 IAM 角色和权限,才能在 Distributed Cloud 上部署 Gemini。
如需详细了解基础设施运维人员 (IO) 角色,请参阅角色定义。
下表介绍了 Gemini 部署所需的预定义角色所分配的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 |
|---|---|---|
| 组织管理员 | organization-admin |
在根管理员集群中创建和管理组织资源。 |
| SERV Admin Monitor | serv-admin-monitor |
监控所需 GPU 裸金属服务器 (d3-highgpu1-256-gdc-metal) 的可用性。 |
| Gemini 制品分发器 | gemini-artifacts-distributor |
对 gemini-model-artifact-registry 资源的对象存储分区具有读写权限。 |
| Gemini Artifact Cluster Viewer | gemini-artifacts-distributor-cluster-role |
读取集群命名空间中的对象存储分区。 |
| 推理网关 Secret 管理员 | inference-gateway-secret-admin |
在 aics-system 命名空间中创建 Secret 资源。 |
| Project IAM Admin | project-iam-admin |
在 Gemini 组织中创建项目。 |