Erforderliche Berechtigungen für die Installation von Anthos Service Mesh

Erforderliche Berechtigungen zum Installieren des verwalteten Anthos Service Mesh

In der folgenden Tabelle werden die Rollen beschrieben, die zum Installieren von verwaltetem Anthos Service Mesh erforderlich sind.

Rollenname Rollen-ID Standort erteilen Beschreibung
GKE-Hub-Administrator roles/gkehub.admin Flottenprojekt Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen.
Service Usage-Administrator roles/serviceusage.serviceUsageAdmin Flottenprojekt Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und Zustände zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Nutzerprojekt zu verarbeiten. (Hinweis 1)
CA Service-Administrator Beta roles/privateca.admin Flottenprojekt Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2)

Erforderliche Berechtigungen zum Installieren von Anthos Service Mesh im Cluster

In der folgenden Tabelle werden die Rollen beschrieben, die zum Installieren von Anthos Service Mesh im Cluster erforderlich sind.

Rollenname Rollen-ID Standort erteilen Beschreibung
GKE-Hub-Administrator roles/gkehub.admin Flottenprojekt Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen.
Kubernetes Engine-Administrator roles/container.admin Clusterprojekt. Beachten Sie, dass diese Rolle sowohl für Flotten- als auch für Clusterprojekte für projektübergreifende Bindungen gewährt werden muss. Berechtigung zur vollständigen Verwaltung von Container-Clustern und den zugehörigen Kubernetes API-Objekten
Mesh-Konfigurationsadministrator roles/meshconfig.admin Fleet- und Clusterprojekt Stellt Berechtigungen zum Initialisieren verwalteter Komponenten von Anthos Service Mesh bereit, z. B. verwaltete Steuerungsebenen, und Backend-Berechtigungen, mit denen Arbeitslasten mit Stackdriver kommunizieren können, ohne dass sie einzeln autorisiert werden (gilt sowohl für verwaltete als auch für clusterinterne Steuerungsebenen).
Projekt-IAM-Administrator roles/resourcemanager.projectIamAdmin Clusterprojekt Berechtigung zum Verwalten von Cloud IAM-Richtlinien für Projekte
Dienstkontoadministrator roles/iam.serviceAccountAdmin Flottenprojekt Authentifizierung als Dienstkonto.
Service Management-Administrator roles/servicemanagement.admin Flottenprojekt Vollständige Kontrolle über Google Service Management-Ressourcen.
Service Usage-Administrator roles/serviceusage.serviceUsageAdmin Flottenprojekt Berechtigung zum Aktivieren, Deaktivieren und Überprüfen von Dienststatus, Prüfen von Vorgängen sowie Nutzung von Kontingent und Abrechnung für ein Nutzerprojekt.(Hinweis 1)
CA Service-Administrator Beta roles/privateca.admin Flottenprojekt Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2)

Hinweise:

  1. Service Usage-Administrator: Diese Rolle ist eine Voraussetzung für die Aktivierung der mesh.googleapis.com API bei der anfänglichen Bereitstellung von verwaltetem Anthos Service Mesh.
  2. CA Service Admin: Diese Rolle ist nur erforderlich, wenn Sie eine Einbindung in CA Service vornehmen.

Nächste Schritte