在 Google Cloud 控制台中控制对 Anthos Service Mesh 的访问权限

在 Google Cloud 控制台中访问 Anthos Service Mesh 的权限由 Identity and Access Management (IAM) 控制。要获得访问权限,Project Owner 必须向用户授予 Project Editor 或 Viewer 角色,或者如下表中所述限制性更强的角色。如需了解如何向用户授予角色,请参阅授予、更改和撤消对资源的访问权限

最小只读角色

具有以下角色的用户只能出于监控目的访问 Anthos Service Mesh 页面。具有这些角色的用户无法创建或修改服务等级目标 (SLO),也无法更改 GKE 基础架构。

IAM 角色名称 角色称谓 说明
监控查看者 roles/monitoring.viewer 提供以只读方式获取和列出与所有监控数据和配置相关的信息的权限。
Kubernetes Engine Viewer roles/container.viewer 提供 GKE 资源的只读权限。 Google Cloud 上的 GKE 集群不需要此角色。
日志查看器 roles/logging.viewer 提供对服务详情视图中“诊断”页面的只读权限。如果不需要访问此页面,则可以省略此权限。

最小写入角色

具有以下角色的用户可以在 Anthos Service Mesh 页面中创建或修改 SLO,以及根据 SLO 创建或修改提醒政策。具有这些角色的用户无法更改 GKE 基础架构。

IAM 角色名称 角色称谓 说明
监控修改者 roles/monitoring.editor 提供对与所有监控数据和配置相关的信息的完整访问权限。
Kubernetes Engine Editor roles/container.editor 提供代管式 GKE 资源所需的写入权限。
Logs Editor roles/logging.editor 提供服务详情视图中“诊断”页面所需的写入权限。

特殊情况

特定网格配置需要以下角色。

IAM 角色名称 角色称谓 说明
GKE Hub Viewer roles/gkehub.viewer 提供对 Google Cloud 控制台中 Google Cloud 外部集群的查看权限。用户必须具备此角色才能查看网格中的非 Google Cloud 集群。此外,您还需要向用户授予集群管理员 RBAC 角色,以允许信息中心代表用户查询集群。

其他角色和权限

如果上述角色无法满足您的需求,IAM 具有其他角色和细化权限。例如,您可能希望授予 Kubernetes Engine Admin 角色或 Kubernetes Engine Cluster Admin 角色,让用户可管理您的 GKE 基础架构。

详情请参阅以下内容:

后续步骤