Controllo dell'accesso a Cloud Service Mesh nella console Google Cloud
L'accesso a Cloud Service Mesh nella console Google Cloud è controllato da Identity and Access Management (IAM). Per ottenere l'accesso, un Proprietario progetto deve concedere agli utenti il ruolo Editor di progetto o Visualizzatore o i ruoli più restrittivi descritti nelle tabelle seguenti. Per informazioni su come concedere ruoli agli utenti, consulta Concessione, modifica e revoca dell'accesso alle risorse.
Ruoli di sola lettura minimi
Gli utenti con i seguenti ruoli possono accedere alle pagine di Cloud Service Mesh solo per scopi di monitoraggio. Gli utenti con questi ruoli non possono creare o modificare oggetti a livello di servizio (SLO) né apportare modifiche all'infrastruttura GKE.
| Nome del ruolo IAM | Titolo del ruolo | Descrizione |
|---|---|---|
| Monitoring Viewer | roles/monitoring.viewer | Fornisce l'accesso di sola lettura per recuperare ed elencare le informazioni su tutti i dati e le configurazioni del monitoraggio. |
| Kubernetes Engine Viewer | roles/container.viewer | Fornisce l'accesso di sola lettura alle risorse GKE. Questo ruolo non è necessario per i cluster GKE su Google Cloud. |
| Visualizzatore log | roles/logging.viewer | Fornisce l'accesso di sola lettura alla pagina Diagnostica nella visualizzazione dei dettagli del servizio. Se l'accesso a questa pagina non è necessario, questa autorizzazione può essere ommessa. |
Ruoli di scrittura minimi
Gli utenti con i seguenti ruoli possono creare o modificare gli SLO nelle pagine di Cloud Service Mesh e creare o modificare i criteri di avviso in base agli SLO. Gli utenti con questi ruoli non possono apportare modifiche all'infrastruttura GKE.
| Nome del ruolo IAM | Titolo del ruolo | Descrizione |
|---|---|---|
| Monitoring Editor | roles/monitoring.editor | Fornisce accesso completo alle informazioni su tutti i dati e le configurazioni di monitoraggio. |
| Kubernetes Engine Editor | roles/container.editor | Fornisce le autorizzazioni di scrittura necessarie per le risorse GKE gestite. |
| Editor dei log | roles/logging.editor | Fornisce le autorizzazioni di scrittura necessarie per la pagina Diagnostica nella visualizzazione dei dettagli del servizio. |
Casi speciali
I seguenti ruoli sono obbligatori per determinate configurazioni del mesh.
| Nome del ruolo IAM | Titolo del ruolo | Descrizione |
|---|---|---|
| Visualizzatore GKE Hub | roles/gkehub.viewer | Fornisce l'accesso in visualizzazione ai cluster esterni a Google Cloud nella console Google Cloud. Questo ruolo è necessario per consentire agli utenti di visualizzare i cluster esterni a Google Cloud nel mesh. Inoltre, dovrai concedere all'utente il ruolo RBAC cluster-admin per consentire alla dashboard di eseguire query sul cluster per suo conto. |
Ruoli e autorizzazioni aggiuntivi
IAM dispone di ruoli e autorizzazioni granulari aggiuntivi se i ruoli precedenti non soddisfano le tue esigenze. Ad esempio, potresti voler concedere il ruolo Amministratore Kubernetes Engine o il ruolo Amministratore cluster Kubernetes Engine per consentire a un utente di amministrare la tua infrastruttura GKE.
Per ulteriori informazioni, consulta quanto segue:
Passaggi successivi
- Esplorare Cloud Service Mesh nella console Google Cloud
- Panoramica degli obiettivi del livello di servizio