Controla el acceso a Cloud Service Mesh en la consola de Google Cloud

El acceso a la malla de servicios de Cloud en la consola de Google Cloud está controlado por Identity and Access Management (IAM). Para obtener acceso, el propietario del proyecto debe otorgar a los usuarios la función de editor o visualizador del proyecto, o las funciones más restrictivas que se describen en las siguientes tablas. Para obtener más información sobre cómo otorgar funciones a los usuarios, consulta Otorga, cambia y revoca el acceso a los recursos.

Funciones mínimas de solo lectura

Los usuarios con los siguientes roles pueden acceder a las páginas de la malla de servicios de Cloud para con fines de supervisión. Los usuarios con estas funciones no pueden crear ni modificar objetos de nivel de servicio (SLO) ni hacer cambios en la infraestructura de GKE.

Nombre de la función de IAM Título de la función Descripción
Visualizador de Monitoring roles/tracking.viewer Proporciona acceso de solo lectura para obtener y enumerar la información sobre todos los datos de supervisión y configuraciones.
Lector de Kubernetes Engine roles/container.viewer Proporciona acceso de solo lectura a los recursos de GKE. Esta el rol no es necesario para los clústeres de GKE en en Google Cloud.
Visor de registros roles/logging.viewer Proporciona acceso de solo lectura a la página Diagnóstico en la vista de detalles del servicio. Si no se necesita acceso a esta página, es posible que se omita este permiso.

Funciones mínimas de escritura

Los usuarios con los siguientes roles pueden crear o modificar los SLO en las páginas de Cloud Service Mesh y crear o modificar políticas de alertas basadas en SLO. Los usuarios con estas funciones no pueden realizar cambios en la infraestructura de GKE.

Nombre de la función de IAM Título de la función Descripción
Editor de Monitoring roles/monitoring.editor Proporciona acceso completo a la información sobre todos los datos y la configuración de supervisión.
Editor de Kubernetes Engine roles/container.editor Proporciona los permisos de escritura necesarios para los recursos administrados de GKE.
Editor de registros roles/logging.editor Proporciona los permisos de escritura necesarios para la página Diagnóstico en la vista de detalles del servicio.

Casos especiales

Se requieren los siguientes roles para configuraciones de malla particulares.

Nombre de la función de IAM Título de la función Descripción
Visualizador de GKE Hub roles/gkehub.viewer Proporciona acceso de lectura a los clústeres fuera de Google Cloud en la consola de Google Cloud. Este rol es obligatorio para que los usuarios vean clústeres fuera de Google Cloud en la malla. Además, deberás otorgarle al usuario el rol de RBAC de administrador del clúster para permitir que el panel consulte el clúster en su nombre.

Funciones y permisos adicionales

IAM tiene funciones adicionales y permisos detallados si las funciones anteriores no satisfacen tus necesidades. Por ejemplo, es posible que desees otorgar la función de administrador de Kubernetes Engine o la función de administrador del clúster de Kubernetes Engine para permitir que un usuario administre tu infraestructura de GKE.

Para obtener más información, consulta lo siguiente:

¿Qué sigue?