Erforderliche Berechtigungen für die Installation von Anthos Service Mesh
Erforderliche Berechtigungen zum Installieren des verwalteten Anthos Service Mesh
In der folgenden Tabelle werden die Rollen beschrieben, die zum Installieren von verwaltetem Anthos Service Mesh erforderlich sind.
Rollenname | Rollen-ID | Standort erteilen | Beschreibung |
---|---|---|---|
GKE-Hub-Administrator | roles/gkehub.admin | Flottenprojekt | Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen. |
Service Usage-Administrator | roles/serviceusage.serviceUsageAdmin | Flottenprojekt | Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und Zustände zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Nutzerprojekt zu verarbeiten. (Hinweis 1) |
CA Service-Administrator Beta | roles/privateca.admin | Flottenprojekt | Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2) |
Erforderliche Berechtigungen zum Installieren von Anthos Service Mesh im Cluster
In der folgenden Tabelle werden die Rollen beschrieben, die zum Installieren von Anthos Service Mesh im Cluster erforderlich sind.
Rollenname | Rollen-ID | Standort erteilen | Beschreibung |
---|---|---|---|
GKE-Hub-Administrator | roles/gkehub.admin | Flottenprojekt | Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen. |
Kubernetes Engine-Administrator | roles/container.admin | Clusterprojekt. Beachten Sie, dass diese Rolle sowohl für Flotten- als auch für Clusterprojekte für projektübergreifende Bindungen gewährt werden muss. | Berechtigung zur vollständigen Verwaltung von Container-Clustern und den zugehörigen Kubernetes API-Objekten |
Mesh-Konfigurationsadministrator | roles/meshconfig.admin | Fleet- und Clusterprojekt | Stellt Berechtigungen zum Initialisieren verwalteter Komponenten von Anthos Service Mesh bereit, z. B. verwaltete Steuerungsebenen, und Backend-Berechtigungen, mit denen Arbeitslasten mit Stackdriver kommunizieren können, ohne dass sie einzeln autorisiert werden (gilt sowohl für verwaltete als auch für clusterinterne Steuerungsebenen). |
Projekt-IAM-Administrator | roles/resourcemanager.projectIamAdmin | Clusterprojekt | Berechtigung zum Verwalten von Cloud IAM-Richtlinien für Projekte |
Dienstkontoadministrator | roles/iam.serviceAccountAdmin | Flottenprojekt | Authentifizierung als Dienstkonto. |
Service Management-Administrator | roles/servicemanagement.admin | Flottenprojekt | Vollständige Kontrolle über Google Service Management-Ressourcen. |
Service Usage-Administrator | roles/serviceusage.serviceUsageAdmin | Flottenprojekt | Berechtigung zum Aktivieren, Deaktivieren und Überprüfen von Dienststatus, Prüfen von Vorgängen sowie Nutzung von Kontingent und Abrechnung für ein Nutzerprojekt.(Hinweis 1) |
CA Service-Administrator Beta | roles/privateca.admin | Flottenprojekt | Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2) |
Hinweise:
- Service Usage-Administrator: Diese Rolle ist eine Voraussetzung für die Aktivierung der
mesh.googleapis.com
API bei der anfänglichen Bereitstellung von verwaltetem Anthos Service Mesh. - CA Service Admin: Diese Rolle ist nur erforderlich, wenn Sie eine Einbindung in CA Service vornehmen.
Nächste Schritte
Eine Liste der spezifischen Berechtigungen in jeder Rolle kopieren Sie, indem Sie die Rolle kopieren und nach Informationen zu Rollen suchen.
Weitere Informationen zum Gewähren von IAM-Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.