接続クラスタ API のアクセス制御

GKE 接続クラスタ API を使用するには、GKE Multi-cloud リソースにアクセスするための Google Cloud アカウントに、特定の Identity and Access Management(IAM)権限が必要です。GKE 接続クラスタには、よく使用される 2 つの権限セットをまとめた次の 2 つの事前定義ロールがあります。

  • gkemulticloud.viewer(読み取り専用アクセス用)
  • gkemulticloud.admin(管理権限を付与するためのロール)

これらのロールに設定されている権限は次のとおりです。

gkemulticloud.admin

  • gkemulticloud.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

gkemulticloud.viewer

  • gkemulticloud.attachedClusters.get
  • gkemulticloud.attachedClusters.list
  • gkemulticloud.attachedServerConfigs.get
  • gkemulticloud.attachedClusters.generateInstallManifest
  • gkemulticloud.awsClusters.generateAccessToken
  • gkemulticloud.awsClusters.get
  • gkemulticloud.awsClusters.list
  • gkemulticloud.awsNodePools.get
  • gkemulticloud.awsNodePools.list
  • gkemulticloud.awsServerConfigs.get
  • gkemulticloud.azureClients.get
  • gkemulticloud.azureClients.list
  • gkemulticloud.azureClusters.generateAccessToken
  • gkemulticloud.azureClusters.get
  • gkemulticloud.azureClusters.list
  • gkemulticloud.azureNodePools.get
  • gkemulticloud.azureNodePools.list
  • gkemulticloud.azureServerConfigs.get
  • gkemulticloud.operations.get
  • gkemulticloud.operations.list
  • gkemulticloud.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

これらの権限の付与と取り消しについては、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。