安装 Anthos Service Mesh 所需的权限

安装代管式 Anthos Service Mesh 所需的权限

下表介绍安装代管式 Anthos Service Mesh 所需的角色。

角色名称 角色 ID 授予位置 说明
GKE Hub Admin roles/gkehub.admin 舰队项目 拥有对 GKE Hub 及相关资源的完全访问权限。
Service Usage Admin roles/serviceusage.serviceUsageAdmin 舰队项目 可启用、停用和检查使用方项目的服务状态、检查该项目的操作,以及使用其配额和结算服务。 (注意 1)
CA Service Admin Beta 版 roles/privateca.admin 舰队项目 具有对所有 CA 服务资源的完整访问权限。 (注意 2)

安装集群内 Anthos Service Mesh 所需的权限

下表介绍了安装集群内 Anthos Service Mesh 所需的角色。

角色名称 角色 ID 授予位置 说明
GKE Hub Admin roles/gkehub.admin 舰队项目 拥有对 GKE Hub 及相关资源的完全访问权限。
Kubernetes Engine Admin roles/container.admin 集群项目。请注意,必须在舰队和集群项目中针对跨项目绑定授予此角色。 提供容器集群及其 Kubernetes API 对象的完全管理访问权限。
Mesh Config Admin roles/meshconfig.admin 舰队与集群项目 提供初始化 Anthos Service Mesh 的代管式组件(例如代管式控制层面)所需的权限和允许工作负载和 Stackdriver 无需分别获得授权即可彼此通信的后端权限(针对代管式控制层面和集群内控制层面)。
Project IAM Admin roles/resourcemanager.projectIamAdmin 集群项目 提供管理项目的 IAM 政策的权限。
服务账号管理员 roles/iam.serviceAccountAdmin 舰队项目 以服务账号身份进行身份验证。
Service Management Admin roles/servicemanagement.admin 舰队项目 拥有对 Google Service Management 资源的完全控制权。
Service Usage Admin roles/serviceusage.serviceUsageAdmin 舰队项目 可启用、停用和检查使用方项目的服务状态、检查该项目的操作,以及使用其配额和结算服务。(注意 1)
CA Service Admin Beta 版 roles/privateca.admin 舰队项目 具有对所有 CA 服务资源的完整访问权限。 (注意 2)

注意

  1. Service Usage Admin - 此角色是初始预配代管式 Anthos Service Mesh 时启用 mesh.googleapis.com API 的前提条件。
  2. CA Service Admin - 只有在与 CA Service 集成时才需要此角色。

后续步骤