Zugriff auf Cloud Service Mesh in der Google Cloud Console steuern
Der Zugriff auf Cloud Service Mesh in der Google Cloud Console wird durch die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) gesteuert. Wenn Nutzer Zugriff erhalten möchten, muss ihnen ein Projektinhaber die Rolle „Projektbearbeiter“ oder „-betrachter“ oder eine der in den folgenden Tabellen beschriebenen restriktiveren Rollen zuweisen. Informationen zum Zuweisen von Rollen für Nutzer finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Rollen mit minimalem Lesezugriff
Nutzer mit den folgenden Rollen können auf die Cloud Service Mesh-Seiten für nur zu Überwachungszwecken. Nutzer mit diesen Rollen können keine Service Level Objectives (SLOs) erstellen und ändern und auch keine Änderungen an der GKE-Infrastruktur vornehmen.
| Name der IAM-Rolle | Rollentitel | Beschreibung |
|---|---|---|
| Monitoring-Betrachter | roles/monitoring.viewer | Lesezugriff für das Abrufen und Auflisten von Informationen zu allen Monitoringdaten und Konfigurationen. |
| Kubernetes Engine Viewer | roles/container.viewer | Bietet Lesezugriff auf GKE-Ressourcen. Dieses Rolle ist für GKE-Cluster auf Google Cloud |
| Loganzeige | roles/logging.viewer | Lesezugriff auf die Seite "Diagnose" in der Dienstdetailansicht. Wenn der Zugriff auf diese Seite nicht erforderlich ist, kann diese Berechtigung weggelassen werden. |
Rollen mit minimalem Schreibzugriff
Nutzer mit den folgenden Rollen können SLOs im Cloud Service Mesh erstellen oder ändern und erstellen oder ändern Sie Benachrichtigungsrichtlinien auf der Grundlage der SLOs. Nutzer mit diesen Rollen können keine Änderungen an der GKE-Infrastruktur vornehmen.
| Name der IAM-Rolle | Rollentitel | Beschreibung |
|---|---|---|
| Monitoring-Bearbeiter | roles/monitoring.editor | Vollzugriff auf Informationen zu allen Monitoringdaten und Konfigurationen |
| Kubernetes Engine-Bearbeiter | rollen/container.editor | Bietet Schreibberechtigungen, die für verwaltete GKE-Ressourcen erforderlich sind. |
| Log-Bearbeiter | rollen/logging.editor | Bietet Schreibberechtigungen, die für die Seite "Diagnose" in der Ansicht mit den Dienstdetails erforderlich sind. |
Sonderfälle
Die folgenden Rollen sind für bestimmte Mesh-Konfigurationen erforderlich.
| Name der IAM-Rolle | Rollentitel | Beschreibung |
|---|---|---|
| GKE-Hub-Betrachter | roles/gkehub.viewer | Lesezugriff auf Cluster außerhalb von Google Cloud in der Google Cloud Console. Diese Rolle ist erforderlich, damit Nutzer Nicht-Google Cloud-Cluster im Mesh-Netzwerk aufrufen können. Außerdem müssen Sie dem Nutzer die RBAC-Rolle clustercluster-admin zuweisen, damit das Dashboard den Cluster in seinem Namen abfragen kann. |
Weitere Rollen und Berechtigungen
Für den Fall, dass die oben genannten Rollen Ihren Anforderungen nicht entsprechen, verfügt IAM über zusätzliche Rollen und detailliertere Berechtigungen. Sie können beispielsweise die Rollen „Kubernetes Engine-Administrator“ oder „Administrator für Kubernetes Engine-Cluster“ zuweisen, um einem Nutzer das Verwalten Ihrer GKE-Infrastruktur zu ermöglichen.
Hier finden Sie weitere Informationen:
Nächste Schritte
- Mit Cloud Service Mesh in der Google Cloud Console vertraut machen
- Service Level Objectives – Übersicht