Google Distributed Cloud (GDC) air-gapped 提供身分與存取權管理 (IAM) 功能,可讓您詳細劃分特定 Distributed Cloud 資源的存取權限,同時避免其他資源遭到未經授權者擅自存取。IAM 遵循最低權限的安全性原則,並使用 IAM 角色和權限,控管哪些使用者可以存取特定資源。
角色是一組特定權限,會對應至資源的特定動作,並指派給個別主體,例如使用者、使用者群組或服務帳戶。因此,您必須具備適當的 IAM 角色和權限,才能在 Distributed Cloud 上部署 Gemini。
如要進一步瞭解基礎架構運算子 (IO) 角色,請參閱「角色定義」。
下表說明 Gemini 部署作業所需的預先定義角色權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 |
|---|---|---|
| 機構管理員 | organization-admin |
在根管理員叢集中建立及管理機構資源。 |
| SERV 管理員監控 | serv-admin-monitor |
監控必要 GPU Bare Metal 伺服器 (d3-highgpu1-256-gdc-metal) 的可用性。 |
| Gemini 構件發布者 | gemini-artifacts-distributor |
讀取及寫入 gemini-model-artifact-registry 資源的物件儲存空間值區。 |
| Gemini 構件叢集檢視者 | gemini-artifacts-distributor-cluster-role |
讀取叢集命名空間中的物件儲存空間 bucket。 |
| Inference Gateway Secret 管理員 | inference-gateway-secret-admin |
在 aics-system 命名空間中建立 Secret 資源。 |
| 專案 IAM 管理員 | project-iam-admin |
在 Gemini 機構中建立專案。 |