Papéis necessários para instalar o Cloud Service Mesh
Papéis necessários para instalar o Anthos Service Mesh gerenciado.
A tabela a seguir descreve os papéis necessários para instalar o Cloud Service Mesh gerenciado.
Nome da função | ID do papel | Conceder local | Descrição |
---|---|---|---|
Administrador do GKE Hub | roles/gkehub.admin | Projeto da frota | Acesso total ao GKE Hub e recursos relacionados. |
Administrador do Service Usage | roles/serviceusage.serviceUsageAdmin | Projeto da frota | Pode ativar, desativar e inspecionar estados de serviço, inspecionar operações, consumir cota e gerar faturamento para o projeto de um consumidor. (Observação 1) |
Administrador de serviço de CABeta | roles/privateca.admin | Projeto da frota | Acesso completo a todos os recursos de serviço de CA. (Observação 2) |
Papéis necessários para instalar o Anthos Service Mesh no cluster
A tabela a seguir descreve os papéis necessários para instalar o Cloud Service Mesh no cluster.
Nome da função | ID do papel | Conceder local | Descrição |
---|---|---|---|
Administrador do GKE Hub | roles/gkehub.admin | Projeto da frota | Acesso total ao GKE Hub e recursos relacionados. |
Administrador do Kubernetes Engine | roles/container.admin | Projeto do cluster. Esse papel precisa ser concedido na frota e no projeto do cluster para vinculações entre projetos. | Dá acesso ao gerenciamento total de clusters do Container e dos objetos da API Kubernetes deles. |
Administrador de configuração de malha | roles/meshconfig.admin | Projeto de frotas e clusters | Concede permissões necessárias para inicializar componentes gerenciados do Cloud Service Mesh, como o plano de controle gerenciado e a permissão de back-end que permite que as cargas de trabalho se comuniquem com o Stackdriver sem que cada uma seja autorizada individualmente (para planos de controle gerenciados e no cluster). |
Administrador de projetos do IAM | roles/resourcemanager.projectIamAdmin | Projeto do cluster | Concede permissões para administrar as políticas do IAM em projetos. |
Administrador de contas de serviço | roles/iam.serviceAccountAdmin | Projeto da frota | Faça a autenticação como uma conta de serviço. |
servicemanagement.admin | roles/servicemanagement.admin | Projeto da frota | Controle completo dos recursos do Google Service Management. |
Administrador do Service Usage | roles/serviceusage.serviceUsageAdmin | Projeto da frota | Pode ativar, desativar e inspecionar estados de serviço, inspecionar operações, consumir cota e gerar faturamento para o projeto de um consumidor.(Observação 1) |
Administrador de serviço de CABeta | roles/privateca.admin | Projeto da frota | Acesso completo a todos os recursos de serviço de CA. (Observação 2) |
Observações:
- Administrador do Service Usage: esse papel é necessário
como pré-requisito para ativar a API
mesh.googleapis.com
ao provisionar inicialmente o Cloud Service Mesh gerenciado. - Administrador de serviço de CA: esse papel só será necessário se você estiver fazendo a integração com o serviço de CA.
A seguir
Para uma lista das permissões específicas de cada papel, copie-o e pesquise-o em Noções básicas sobre papéis.
Para saber mais sobre como conceder papéis do IAM, consulte Como conceder, alterar e revogar o acesso a recursos.