Google Cloud コンソールでの Anthos Service Mesh に対するアクセス制御
Google Cloud コンソールでの Anthos サービス メッシュへのアクセスは、Identity and Access Management(IAM)によって制御されます。アクセスするには、プロジェクト オーナーがユーザーに対して、プロジェクト編集者か閲覧者のロール、または次の表で示される、より限定的なロールを付与する必要があります。ユーザーにロールを付与する方法については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。
最小限の読み取り専用のロール
次のロールを持つユーザーは、モニタリング目的でのみ Anthos Service Mesh ページにアクセスできます。これらのロールを持つユーザーは、サービスレベル目標(SLO)の作成と変更、GKE インフラストラクチャの変更はできません。
IAM のロール名 | ロールのタイトル | 説明 |
---|---|---|
モニタリング閲覧者 | roles/monitoring.viewer | すべてのモニタリング データや構成に関する情報を取得して一覧表示するための読み取り専用アクセス権を付与します。 |
Kubernetes Engine 閲覧者 | roles/container.viewer | GKE リソースへの読み取り専用アクセス権を付与します。Google Cloud の GKE クラスタでは、このロールは必要ありません。 |
ログビューア | roles/logging.viewer | サービスの詳細ビューの診断ページに対する読み取り専用アクセス権を付与します。このページへのアクセスが必要ない場合は、この権限を省略できます。 |
最小限の書き込みロール
次のロールを持つユーザーは、Anthos Service Mesh ページで SLO を作成または変更し、SLO に基づいてアラート ポリシーを作成または変更できます。これらのロールを持つユーザーは、GKE インフラストラクチャを変更できません。
IAM のロール名 | ロールのタイトル | 説明 |
---|---|---|
モニタリング編集者 | roles/monitoring.editor | モニタリング データと構成に関する情報に対する完全アクセス権を付与します。 |
Kubernetes Engine 編集者 | roles/container.editor | マネージド GKE リソースに必要な書き込み権限を付与します。 |
ログ編集者 | roles/logging.editor | サービスの詳細ビューの診断ページへの必要な書き込み権限を付与します。 |
特殊なケース
特定のメッシュ構成には、次のロールが必要です。
IAM のロール名 | ロールのタイトル | 説明 |
---|---|---|
GKE Hub 閲覧者 | roles/gkehub.viewer | Google Cloud コンソールで、Google Cloud 外のクラスタを表示する権限を付与します。このロールは、ユーザーがメッシュにある Google Cloud 外のクラスタを表示するために必要です。また、ユーザーに代わってダッシュボードがクラスタに対してクエリを実行できるようにするには、ユーザーに cluster-admin RBAC ロールを付与する必要があります。 |
追加のロールと権限
上述のロールがニーズを満たしていない場合、IAM には追加のロールときめ細かい権限があります。たとえば、ユーザーが GKE インフラストラクチャを管理できるように、Kubernetes Engine 管理者のロールまたは Kubernetes Engine クラスタ管理者のロールを付与します。
詳しくは次の記事をご覧ください。