Google Cloud Console에서 Anthos Service Mesh에 대한 액세스 제어
Google Cloud 콘솔에서 Anthos Service Mesh에 대한 액세스는 Identity and Access Management(IAM)로 제어됩니다. 액세스하려면 프로젝트 소유자가 사용자에게 프로젝트 편집자 또는 뷰어 역할이나 다음 표에 설명된 더욱 제한적인 역할을 부여해야 합니다. 사용자에게 역할을 부여하는 방법에 대한 자세한 내용은 리소스에 대한 액세스 권한 부여, 변경, 취소를 참조하세요.
최소 읽기 전용 역할
다음 역할을 가진 사용자는 모니터링 목적으로만 Anthos Service Mesh 페이지에 액세스할 수 있습니다. 이러한 역할을 가진 사용자는 서비스 수준 객체(SLO)를 만들거나 수정하거나 GKE 인프라를 변경할 수 없습니다.
IAM 역할 이름 | 역할 칭호 | 설명 |
---|---|---|
모니터링 뷰어 | roles/monitoring.viewer | 모든 모니터링 데이터 및 구성의 정보를 가져와 나열할 수 있는 읽기 전용 액세스 권한을 제공합니다. |
Kubernetes Engine 뷰어 | roles/container.viewer | GKE 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. Google Cloud의 GKE 클러스터에는 이 역할이 필요하지 않습니다. |
로그 뷰어 | roles/logging.viewer | 서비스 세부정보 뷰에서 진단 페이지에 대한 읽기 전용 액세스 권한을 제공합니다. 이 페이지에 대한 액세스가 필요하지 않으면 이 권한을 생략할 수 있습니다. |
최소 쓰기 역할
다음 역할을 가진 사용자는 Anthos Service Mesh 페이지에서 SLO를 만들거나 수정하고 SLO를 기반으로 알림 정책을 만들거나 수정할 수 있습니다. 이러한 역할을 가진 사용자는 GKE 인프라를 변경할 수 없습니다.
IAM 역할 이름 | 역할 칭호 | 설명 |
---|---|---|
모니터링 편집자 | roles/monitoring.editor | 데이터 모니터링과 구성에 관한 모든 정보에 대한 전체 액세스 권한을 제공합니다. |
Kubernetes Engine 편집자 | roles/container.editor | 관리형 GKE 리소스에 필요한 쓰기 권한을 제공합니다. |
로그 편집자 | roles/logging.editor | 서비스 세부정보 뷰의 진단 페이지에 필요한 쓰기 권한을 제공합니다. |
특수한 경우
특정 메시 구성에는 다음 역할이 필요합니다.
IAM 역할 이름 | 역할 칭호 | Description(설명) |
---|---|---|
GKE 허브 뷰어 | roles/gkehub.viewer | Google Cloud 콘솔에서 Google Cloud 외부의 클러스터에 대한 뷰 액세스 권한을 제공합니다. 메시에서 Google Cloud 외부 클러스터를 보려면 이 역할이 필요합니다. 또한 대시보드가 사용자를 대신하여 클러스터를 쿼리할 수 있도록 cluster-admin RBAC 역할을 사용자에게 부여해야 합니다. |
추가 역할 및 권한
IAM은 위 역할이 사용자의 요구를 충족하지 않는 경우 추가 역할 및 세분화된 권한을 갖습니다. 예를 들어 사용자가 GKE 인프라를 관리할 수 있도록 Kubernetes Engine 관리자 역할 또는 Kubernetes Engine 클러스터 관리자 역할을 부여하는 것이 좋습니다.
자세한 내용은 다음을 참조하세요.