Controla el acceso a Anthos Service Mesh en la consola de Google Cloud

El acceso a Anthos Service Mesh en la consola de Google Cloud se controla mediante la Administración de identidades y accesos (IAM). Para obtener acceso, el propietario del proyecto debe otorgar a los usuarios el rol de editor o visualizador del proyecto, o los roles más restrictivos que se describen en las siguientes tablas. Para obtener más información sobre cómo otorgar funciones a los usuarios, consulta Otorga, cambia y revoca el acceso a los recursos.

Funciones mínimas de solo lectura

Los usuarios con las siguientes funciones pueden acceder a las páginas de Anthos Service Mesh solo con fines de supervisión. Los usuarios con estas funciones no pueden crear ni modificar objetos de nivel de servicio (SLO) ni hacer cambios en la infraestructura de GKE.

Nombre de la función de IAM Título de la función Descripción
Visualizador de Monitoring roles/monitoring.viewer Proporciona acceso de solo lectura para obtener y enumerar la información sobre todos los datos de supervisión y configuraciones.
Lector de Kubernetes Engine roles/container.viewer Proporciona acceso de solo lectura a los recursos de GKE. Este rol no es necesario para los clústeres de GKE en Google Cloud.
Visor de registros roles/logging.viewer Proporciona acceso de solo lectura a la página Diagnóstico en la vista de detalles del servicio. Si no se necesita acceso a esta página, es posible que se omita este permiso.

Funciones mínimas de escritura

Los usuarios con las siguientes funciones pueden crear o modificar los SLO en las páginas de Anthos Service Mesh y crear o modificar políticas de alertas basadas en SLO. Los usuarios con estas funciones no pueden realizar cambios en la infraestructura de GKE.

Nombre de la función de IAM Título de la función Descripción
Editor de Monitoring roles/monitoring.editor Proporciona acceso completo a la información sobre todos los datos y la configuración de supervisión.
Editor de Kubernetes Engine roles/container.editor Proporciona los permisos de escritura necesarios para los recursos administrados de GKE.
Editor de registros roles/logging.editor Proporciona los permisos de escritura necesarios para la página Diagnóstico en la vista de detalles del servicio.

Casos especiales

Los siguientes roles son obligatorios para parámetros de configuración específicos de la malla.

Nombre del rol de IAM Título de la función Descripción
Visualizador de GKE Hub roles/gkehub.viewer Proporciona acceso de lectura a los clústeres fuera de Google Cloud en la consola de Google Cloud. Este rol es obligatorio para que los usuarios vean clústeres fuera de Google Cloud en la malla. Además, deberás otorgarle al usuario el rol de RBAC de administrador del clúster para permitir que el panel consulte el clúster en su nombre.

Funciones y permisos adicionales

IAM tiene funciones adicionales y permisos detallados si las funciones anteriores no satisfacen tus necesidades. Por ejemplo, es posible que desees otorgar la función de administrador de Kubernetes Engine o la función de administrador del clúster de Kubernetes Engine para permitir que un usuario administre tu infraestructura de GKE.

Para obtener más información, consulta lo siguiente:

¿Qué sigue?