Zum Installieren von Cloud Service Mesh erforderliche Rollen
Rollen, die für die Installation von verwaltetem Anthos Service Mesh erforderlich sind
In der folgenden Tabelle werden die Rollen beschrieben, die zum Installieren von verwalteten Cloud Service Mesh.
Rollenname | Rollen-ID | Standort erteilen | Beschreibung |
---|---|---|---|
GKE-Hub-Administrator | roles/gkehub.admin | Flottenprojekt | Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen. |
Service Usage-Administrator | roles/serviceusage.serviceUsageAdmin | Flottenprojekt | Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und Zustände zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Nutzerprojekt zu verarbeiten. (Hinweis 1) |
CA Service-Administrator Beta | roles/privateca.admin | Flottenprojekt | Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2) |
Zum Installieren von Anthos Service Mesh im Cluster erforderliche Rollen
In der folgenden Tabelle werden die Rollen beschrieben, die für die Installation im Cluster erforderlich sind Cloud Service Mesh.
Rollenname | Rollen-ID | Standort erteilen | Beschreibung |
---|---|---|---|
GKE-Hub-Administrator | roles/gkehub.admin | Flottenprojekt | Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen. |
Kubernetes Engine-Administrator | roles/container.admin | Clusterprojekt. Beachten Sie, dass diese Rolle sowohl für Flotten- als auch für Clusterprojekte für projektübergreifende Bindungen gewährt werden muss. | Berechtigung zur vollständigen Verwaltung von Container-Clustern und den zugehörigen Kubernetes API-Objekten |
Mesh-Konfigurationsadministrator | roles/meshconfig.admin | Flotten- und Clusterprojekt | Gewährt Berechtigungen zum Initialisieren verwalteter Komponenten von Cloud Service Mesh wie eine verwaltete Steuerungsebene und Back-End-Berechtigung, die können Arbeitslasten mit Stackdriver kommunizieren, einzeln autorisiert (sowohl für verwaltete als auch clusterinterne Steuerungsebenen). |
Projekt-IAM-Administrator | roles/resourcemanager.projectIamAdmin | Clusterprojekt | Berechtigung zum Verwalten von Cloud IAM-Richtlinien für Projekte |
Dienstkontoadministrator | roles/iam.serviceAccountAdmin | Flottenprojekt | Authentifizierung als Dienstkonto. |
Service Management-Administrator | roles/servicemanagement.admin | Flottenprojekt | Vollständige Kontrolle über Google Service Management-Ressourcen. |
Service Usage-Administrator | roles/serviceusage.serviceUsageAdmin | Flottenprojekt | Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Nutzerprojekt zu verarbeiten.(Hinweis 1) |
CA Service-Administrator Beta | roles/privateca.admin | Flottenprojekt | Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2) |
Hinweise:
- Service Usage-Administrator: Diese Rolle ist erforderlich, um die
mesh.googleapis.com
API zu aktivieren, wenn Sie ein verwaltetes Cloud Service Mesh zum ersten Mal bereitstellen. - CA-Dienstadministrator: Diese Rolle ist nur erforderlich, wenn Sie eine Einbindung in den CA-Dienst vornehmen.
Nächste Schritte
Eine Liste der spezifischen Berechtigungen in jeder Rolle kopieren Sie, indem Sie die Rolle kopieren und nach Informationen zu Rollen suchen.
Weitere Informationen zum Gewähren von IAM-Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.