Contrôler l'accès à Cloud Service Mesh dans la console Google Cloud
L'accès à Cloud Service Mesh dans la console Google Cloud est contrôlé par Identity and Access Management (IAM). Pour y accéder, un propriétaire de projet doit accorder aux utilisateurs le rôle d'éditeur ou de lecteur de projet, ou les rôles les plus restrictifs décrits dans les tableaux suivants. Pour en savoir plus sur l'attribution de rôles aux utilisateurs, consultez la page Accorder, modifier et révoquer les accès à des ressources.
Rôles minimaux en lecture seule
Les utilisateurs disposant des rôles suivants peuvent accéder aux pages Cloud Service Mesh à des fins de surveillance uniquement. Les utilisateurs dotés de ces rôles ne peuvent ni créer ou modifier des objets de niveau de service (SLO), ni apporter des modifications à l'infrastructure GKE.
| Nom du rôle IAM | Titre du rôle | Description |
|---|---|---|
| Lecteur Monitoring | roles/monitoring.viewer | Fournit un accès en lecture seule permettant d'obtenir et de présenter des informations sur toutes les configurations et les données de surveillance. |
| Lecteur Kubernetes Engine | roles/container.viewer | Fournit un accès en lecture seule aux ressources GKE. Ce rôle n'est pas requis pour les clusters GKE sur Google Cloud. |
| Visionneuse de journaux | roles/logging.viewer | Fournit un accès en lecture seule à la page "Diagnostic" dans la vue "Détails du service". Cette autorisation peut être omise si l'accès à cette page n'est pas nécessaire. |
Rôles d'écriture minimaux
Les utilisateurs disposant des rôles suivants peuvent créer ou modifier des SLO sur les pages Cloud Service Mesh, et créer ou modifier des règles d'alerte en fonction des SLO. Les utilisateurs dotés de ces rôles ne peuvent pas modifier l'infrastructure GKE.
| Nom du rôle IAM | Titre du rôle | Description |
|---|---|---|
| Éditeur Monitoring | roles/monitoring.editor | Fournit un accès complet aux informations sur toutes les configurations et les données de surveillance. |
| Éditeur Kubernetes Engine | roles/container.editor | Fournit les autorisations d'écriture nécessaires pour les ressources GKE gérées. |
| Éditeur de journaux | roles/logging.editor | Fournit les autorisations d'écriture nécessaires pour la page "Diagnostic" dans la vue "Détails du service". |
Cas particuliers
Les rôles suivants sont requis pour des configurations de réseau maillés particulières.
| Nom du rôle IAM | Titre du rôle | Description |
|---|---|---|
| Lecteur GKE Hub | roles/gkehub.viewer | Fournit un accès en lecture aux clusters extérieurs à Google Cloud dans la console Google Cloud. Ce rôle est requis pour que les utilisateurs puissent afficher les clusters hors Google Cloud dans le maillage. En outre, vous devrez attribuer à l'utilisateur le rôle RBAC cluster-admin pour permettre au tableau de bord d'interroger le cluster en son nom. |
Rôles et autorisations supplémentaires
IAM dispose de rôles supplémentaires et d'autorisations précises si les rôles ci-dessus ne répondent pas à vos besoins. Par exemple, vous pouvez attribuer le rôle "Administrateur Kubernetes Engine" ou "Administrateur de clusters Kubernetes Engine" pour permettre à un utilisateur d'administrer votre infrastructure GKE.
Pour en savoir plus, consultez les ressources suivantes :
Étapes suivantes
- Découvrir Cloud Service Mesh dans la console Google Cloud
- Présentation des objectifs de niveau de service