Permissões necessárias para instalar o Anthos Service Mesh

Permissões necessárias para instalar o Anthos Service Mesh gerenciado

Na tabela a seguir, descrevemos os papéis necessários para instalar o Anthos Service Mesh gerenciado.

Nome da função ID do papel Conceder local Descrição
Administrador do GKE Hub roles/gkehub.admin Projeto da frota Acesso total ao GKE Hub e recursos relacionados.
Administrador do Service Usage roles/serviceusage.serviceUsageAdmin Projeto da frota Pode ativar, desativar e inspecionar estados de serviço, inspecionar operações, consumir cota e gerar faturamento para o projeto de um consumidor. (Observação 1)
Administrador de serviço de CABeta roles/privateca.admin Projeto da frota Acesso completo a todos os recursos de serviço de CA. (Observação 2)

Permissões necessárias para instalar o Anthos Service Mesh no cluster

Na tabela a seguir, descrevemos os papéis necessários para instalar o Anthos Service Mesh no cluster.

Nome da função ID do papel Conceder local Descrição
Administrador do GKE Hub roles/gkehub.admin Projeto da frota Acesso total ao GKE Hub e recursos relacionados.
Administrador do Kubernetes Engine roles/container.admin Projeto do cluster. Esse papel precisa ser concedido na frota e no projeto do cluster para vinculações entre projetos. Dá acesso ao gerenciamento total de clusters do Container e dos objetos da API Kubernetes deles.
Administrador de configuração de malha roles/meshconfig.admin Projeto de frotas e clusters Concede permissões necessárias para inicializar componentes gerenciados do Anthos Mesh Service, como o plano de controle gerenciado e a permissão de back-end que permite que as cargas de trabalho se comuniquem com o Stackdriver sem que cada uma seja autorizada individualmente (para planos de controle gerenciados e no cluster).
Administrador de projetos do IAM roles/resourcemanager.projectIamAdmin Projeto do cluster Concede permissões para administrar as políticas do IAM em projetos.
Administrador de contas de serviço roles/iam.serviceAccountAdmin Projeto da frota Faça a autenticação como uma conta de serviço.
servicemanagement.admin roles/servicemanagement.admin Projeto da frota Controle completo dos recursos do Google Service Management.
Administrador do Service Usage roles/serviceusage.serviceUsageAdmin Projeto da frota Capacidade de ativar, desativar e inspecionar estados de serviço, inspecionar operações, consumir cota e gerar faturamento para um projeto de consumidor.(Observação 1)
Administrador de serviço de CABeta roles/privateca.admin Projeto da frota Acesso completo a todos os recursos de serviço de CA. (Observação 2)

Observações:

  1. Administrador do Service Usage: esse papel é necessário como pré-requisito para ativar a API mesh.googleapis.com ao provisionar inicialmente o Anthos Service Mesh gerenciado.
  2. Administrador de serviço de CA: esse papel só será necessário se você estiver fazendo a integração com o serviço de CA.

A seguir