Roles necesarios para instalar Cloud Service Mesh

Roles necesarios para instalar Anthos Service Mesh administrado

En la siguiente tabla, se describen los roles necesarios para instalar Cloud Service Mesh administrado.

Nombre de la función ID de la función Otorga la ubicación Descripción
Administrador de GKE Hub roles/gkehub.admin Proyecto de flota Acceso completo a GKE Hubs y recursos relacionados.
Administrador de Service Usage roles/serviceusage.serviceUsageAdmin Proyecto de flota Puede inspeccionar, habilitar y también inhabilitar estados de servicio, inspeccionar operaciones junto con cuotas de consumo y facturación para un proyecto de consumidor. (Nota 1)
Administrador del servicio de CA beta roles/privateca.admin Proyecto de flota Tiene acceso completo a todos los recursos del Servicio de CA. (Nota 2)

Roles necesarios para instalar Anthos Service Mesh en el clúster

En la siguiente tabla, se describen los roles necesarios para instalar Cloud Service Mesh en el clúster.

Nombre de la función ID de la función Otorga la ubicación Descripción
Administrador de GKE Hub roles/gkehub.admin Proyecto de flota Acceso completo a GKE Hubs y recursos relacionados.
Administrador de Kubernetes Engine roles/container.admin Proyecto de clúster. Ten en cuenta que esta función debe otorgarse en el proyecto de flota y de clúster para las vinculaciones entre proyectos. Proporciona acceso a la administración completa de los clústeres del contenedor y sus objetos de la API de Kubernetes.
Administrador de configuración de malla roles/meshconfig.admin Proyecto de flota y de clúster Proporciona los permisos necesarios para inicializar los componentes administrados de Cloud Service Mesh, como el plano de control administrado y el permiso de backend, que permiten que las cargas de trabajo se comuniquen con Stackdriver sin una autorización individual (tanto para el plano de control administrado como para el plano de control en el clúster).
Administrador de IAM de proyecto roles/resourcemanager.projectIamAdmin Proyecto de clúster Proporciona permisos para administrar las políticas de IAM en los proyectos.
Administrador de cuenta de servicio roles/iam.serviceAccountAdmin Proyecto de flota Autentica como una cuenta de servicio.
Service Management Admin roles/servicemanagement.admin Proyecto de flota Tiene control completo sobre los recursos de administración de servicios de Google.
Administrador de Service Usage roles/serviceusage.serviceUsageAdmin Proyecto de flota Tiene la capacidad de habilitar, inhabilitar e inspeccionar estados de servicio, inspeccionar operaciones, y consumir cuota y facturación para un proyecto de consumidor.(Nota 1)
Administrador del servicio de CA beta roles/privateca.admin Proyecto de flota Tiene acceso completo a todos los recursos del Servicio de CA. (Nota 2)

Notas:

  1. Administrador de uso de servicios: Este rol es necesario como requisito previo para habilitar la API de mesh.googleapis.com cuando se aprovisiona Cloud Service Mesh administrado inicialmente.
  2. Administrador del servicio de AC: Este rol solo es obligatorio si realizas la integración con el servicio de AC.

¿Qué sigue?