Anthos Service Mesh のインストールに必要な権限

マネージド Anthos Service Mesh のインストールに必要な権限

次の表に、マネージド Anthos Service Mesh のインストールに必要なロールを示します。

ロール名 ロール ID 付与する場所 説明
GKE Hub 管理者 roles/gkehub.admin フリート プロジェクト GKE Hub と関連リソースに対する完全アクセス権。
Service Usage 管理者 roles/serviceusage.serviceUsageAdmin フリート プロジェクト サービス状態の有効化、無効化、検査、オペレーションの検査、ユーザー プロジェクトの割り当てと請求の利用が可能な権限。(注 1)
CA Service 管理者ベータ版 roles/privateca.admin フリート プロジェクト CA Service のすべてのリソースへの完全アクセス権。(注 2)

クラスタ内 Anthos Service Mesh のインストールに必要な権限

次の表に、クラスタ内 Anthos Service Mesh のインストールに必要なロールを示します。

ロール名 ロール ID 付与する場所 説明
GKE Hub 管理者 roles/gkehub.admin フリート プロジェクト GKE Hub と関連リソースに対する完全アクセス権。
Kubernetes Engine 管理者 roles/container.admin クラスタ プロジェクト。このロールは、クロス プロジェクト バインディング用にフリートとクラスタ プロジェクトの両方で付与する必要があります。 コンテナ クラスタと、それらの Kubernetes API オブジェクトのすべてを管理できるアクセス権を付与します。
メッシュ構成管理者 roles/meshconfig.admin フリートとクラスタ プロジェクト Anthos Service Mesh のマネージド コンポーネントを初期化するために必要な権限を提供します。たとえば、(マネージド コントロール プレーンとクラスタ内コントロール プレーンの両方について)個別に認証を行わずに、ワークロードが Stackdriver と通信できるようにするマネージド コントロール プレーンとバックエンドの権限です。
プロジェクト IAM 管理者 roles/resourcemanager.projectIamAdmin クラスタ プロジェクト プロジェクトの IAM ポリシーを管理する権限を付与します。
サービス アカウント管理者 roles/iam.serviceAccountAdmin フリート プロジェクト サービス アカウントとして認証します。
Service Management 管理者 roles/servicemanagement.admin フリート プロジェクト Google Service Management リソースへの完全アクセス権。
Service Usage 管理者 roles/serviceusage.serviceUsageAdmin フリート プロジェクト サービス状態の有効化、無効化、検査、オペレーションの検査、ユーザー プロジェクトの割り当てと請求の利用が可能です。(注 1)
CA Service 管理者ベータ版 roles/privateca.admin フリート プロジェクト CA Service のすべてのリソースへの完全アクセス権。 (注 2)

注:

  1. Service Usage 管理者 - このロールは、マネージド Anthos Service Mesh を最初にプロビジョニングするときに mesh.googleapis.com API を有効にするための前提条件として必要です。
  2. CA Service 管理者 - このロールは、CA Service と統合する場合にのみ必要です。

次のステップ