Zum Installieren von Cloud Service Mesh erforderliche Rollen

Rollen, die für die Installation von verwaltetem Anthos Service Mesh erforderlich sind

In der folgenden Tabelle werden die Rollen beschrieben, die zum Installieren von verwalteten Cloud Service Mesh.

Rollenname Rollen-ID Standort erteilen Beschreibung
GKE-Hub-Administrator roles/gkehub.admin Flottenprojekt Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen.
Service Usage-Administrator roles/serviceusage.serviceUsageAdmin Flottenprojekt Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und Zustände zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Nutzerprojekt zu verarbeiten. (Hinweis 1)
CA Service-Administrator Beta roles/privateca.admin Flottenprojekt Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2)

Zum Installieren von Anthos Service Mesh im Cluster erforderliche Rollen

In der folgenden Tabelle werden die Rollen beschrieben, die für die Installation im Cluster erforderlich sind Cloud Service Mesh.

Rollenname Rollen-ID Standort erteilen Beschreibung
GKE-Hub-Administrator roles/gkehub.admin Flottenprojekt Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen.
Kubernetes Engine-Administrator roles/container.admin Clusterprojekt. Beachten Sie, dass diese Rolle sowohl für Flotten- als auch für Clusterprojekte für projektübergreifende Bindungen gewährt werden muss. Berechtigung zur vollständigen Verwaltung von Container-Clustern und den zugehörigen Kubernetes API-Objekten
Mesh-Konfigurationsadministrator roles/meshconfig.admin Flotten- und Clusterprojekt Gewährt Berechtigungen zum Initialisieren verwalteter Komponenten von Cloud Service Mesh wie eine verwaltete Steuerungsebene und Back-End-Berechtigung, die können Arbeitslasten mit Stackdriver kommunizieren, einzeln autorisiert (sowohl für verwaltete als auch clusterinterne Steuerungsebenen).
Projekt-IAM-Administrator roles/resourcemanager.projectIamAdmin Clusterprojekt Berechtigung zum Verwalten von Cloud IAM-Richtlinien für Projekte
Dienstkontoadministrator roles/iam.serviceAccountAdmin Flottenprojekt Authentifizierung als Dienstkonto.
Service Management-Administrator roles/servicemanagement.admin Flottenprojekt Vollständige Kontrolle über Google Service Management-Ressourcen.
Service Usage-Administrator roles/serviceusage.serviceUsageAdmin Flottenprojekt Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Nutzerprojekt zu verarbeiten.(Hinweis 1)
CA Service-Administrator Beta roles/privateca.admin Flottenprojekt Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2)

Hinweise:

  1. Service Usage-Administrator: Diese Rolle ist erforderlich, um die mesh.googleapis.com API zu aktivieren, wenn Sie ein verwaltetes Cloud Service Mesh zum ersten Mal bereitstellen.
  2. CA-Dienstadministrator: Diese Rolle ist nur erforderlich, wenn Sie eine Einbindung in den CA-Dienst vornehmen.

Nächste Schritte