Zugriff auf Anthos Service Mesh in der Google Cloud Console steuern
In der Cloud Console wird der Zugriff auf Anthos Service Mesh durch die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) gesteuert. Wenn Nutzer Zugriff erhalten möchten, muss ihnen ein Projektinhaber die Rolle „Projektbearbeiter“ oder „-betrachter“ oder eine der in den folgenden Tabellen beschriebenen restriktiveren Rollen zuweisen. Informationen zum Zuweisen von Rollen für Nutzer finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Rollen, die mindestens mit Lesezugriff ausgestattet sind
Nutzer mit den folgenden Rollen können nur zu Monitoringzwecken auf die Anthos Service Mesh-Seiten zugreifen. Nutzer mit diesen Rollen können keine Service Level Objectives (SLOs) erstellen und ändern und auch keine Änderungen an der GKE-Infrastruktur vornehmen.
| Name der IAM-Rolle | Rollentitel | Beschreibung |
|---|---|---|
| Monitoring-Betrachter | roles/monitoring.viewer | Lesezugriff für das Abrufen und Auflisten von Informationen zu allen Monitoringdaten und Konfigurationen. |
| Kubernetes Engine Viewer | roles/container.viewer | Lesezugriff auf GKE-Ressourcen Diese Rolle ist für GKE-Cluster in Google Cloud nicht erforderlich. |
| Loganzeige | roles/logging.viewer | Lesezugriff auf die Seite "Diagnose" in der Dienstdetailansicht. Wenn der Zugriff auf diese Seite nicht erforderlich ist, kann diese Berechtigung weggelassen werden. |
Rollen mit minimalem Schreibzugriff
Nutzer mit den folgenden Rollen können auf den Anthos Service Mesh-Seiten SLOs erstellen und ändern sowie auf den SLOs basierende Benachrichtigungsrichtlinien erstellen und ändern. Nutzer mit diesen Rollen können keine Änderungen an der GKE-Infrastruktur vornehmen.
| Name der IAM-Rolle | Rollentitel | Beschreibung |
|---|---|---|
| Monitoring-Bearbeiter | roles/monitoring.editor | Vollzugriff auf Informationen zu allen Monitoringdaten und Konfigurationen |
| Kubernetes Engine-Bearbeiter | roles/container.editor | Bietet Schreibberechtigungen, die für verwaltete GKE-Ressourcen erforderlich sind. |
| Log-Bearbeiter | rollen/logging.editor | Bietet Schreibberechtigungen, die für die Seite "Diagnose" in der Ansicht mit den Dienstdetails erforderlich sind. |
Sonderfälle
Die folgenden Rollen sind für bestimmte Mesh-Konfigurationen erforderlich.
| Name der IAM-Rolle | Rollentitel | Beschreibung |
|---|---|---|
| GKE-Hub-Betrachter | roles/gkehub.viewer | Lesezugriff auf Cluster außerhalb von Google Cloud in der Google Cloud Console. Diese Rolle ist erforderlich, damit Nutzer Nicht-Google Cloud-Cluster im Mesh-Netzwerk aufrufen können. Außerdem müssen Sie dem Nutzer die RBAC-Rolle clustercluster-admin zuweisen, damit das Dashboard den Cluster in seinem Namen abfragen kann. |
Weitere Rollen und Berechtigungen
Für den Fall, dass die oben genannten Rollen Ihren Anforderungen nicht entsprechen, verfügt IAM über zusätzliche Rollen und detailliertere Berechtigungen. Sie können beispielsweise die Rollen „Kubernetes Engine-Administrator“ oder „Administrator für Kubernetes Engine-Cluster“ zuweisen, um einem Nutzer das Verwalten Ihrer GKE-Infrastruktur zu ermöglichen.
Hier finden Sie weitere Informationen:
Nächste Schritte
- Mit Anthos Service Mesh in der Google Cloud Console vertraut machen
- Service Level Objectives – Übersicht