Funções necessárias para instalar o Cloud Service Mesh
Funções necessárias para instalar o Anthos Service Mesh gerido
A tabela seguinte descreve as funções necessárias para instalar o Cloud Service Mesh gerido.
| Nome da função | ID da função | Conceda acesso à localização | Descrição |
|---|---|---|---|
| Administrador do GKE Hub | roles/gkehub.admin | Projeto do Fleet | Acesso total aos GKE Hubs e recursos relacionados. |
| Administrador de utilização do serviço | roles/serviceusage.serviceUsageAdmin | Projeto do Fleet | Capacidade de ativar, desativar e inspecionar estados de serviços, inspecionar operações e consumir quota e faturação para um projeto de consumidor. (Note 1) |
| Administrador de serviço de AC Beta | roles/privateca.admin | Projeto do Fleet | Acesso total a todos os recursos do serviço de AC. (Note 2) |
Funções necessárias para instalar o Anthos Service Mesh no cluster
A tabela seguinte descreve as funções necessárias para instalar o Cloud Service Mesh no cluster.
| Nome da função | ID da função | Conceda acesso à localização | Descrição |
|---|---|---|---|
| Administrador do GKE Hub | roles/gkehub.admin | Projeto do Fleet | Acesso total aos GKE Hubs e recursos relacionados. |
| Administrador do Kubernetes Engine | roles/container.admin | Agrupar projetos. Tenha em atenção que esta função tem de ser concedida no projeto do cluster e do Fleet para associações entre projetos. | Oferece acesso à gestão total de clusters de contentores e dos respetivos objetos da API Kubernetes. |
| Administrador de configuração de malha | roles/meshconfig.admin | Projeto de frota e cluster | Fornece as autorizações necessárias para inicializar os componentes geridos da Cloud Service Mesh, como o plano de controlo gerido e a autorização de back-end que permite que as cargas de trabalho comuniquem com o Stackdriver sem que cada uma seja autorizada individualmente (para planos de controlo geridos e no cluster). |
| Administrador de IAM de projetos | roles/resourcemanager.projectIamAdmin | Projeto de cluster | Concede autorizações para administrar políticas IAM em projetos. |
| Administrador da conta de serviço | roles/iam.serviceAccountAdmin | Projeto do Fleet | Autentique-se como uma conta de serviço. |
| Administrador de gestão de serviços | roles/servicemanagement.admin | Projeto do Fleet | Controlo total dos recursos de gestão de serviços Google. |
| Administrador de utilização do serviço | roles/serviceusage.serviceUsageAdmin | Projeto do Fleet | Capacidade de ativar, desativar e inspecionar estados de serviço, inspecionar operações e consumir quota e faturação para um projeto de consumidor.(Nota 1) |
| Administrador de serviço de AC Beta | roles/privateca.admin | Projeto do Fleet | Acesso total a todos os recursos do serviço de AC. (Note 2) |
Notas:
- Administrador de utilização de serviços: esta função é necessária como pré-requisito para ativar a API
mesh.googleapis.comquando aprovisiona inicialmente a malha de serviços na nuvem gerida. - Administrador do serviço de AC: esta função só é necessária se estiver a fazer a integração com o serviço de AC.
O que se segue?
Para ver uma lista das autorizações específicas em cada função, copie a função e pesquise-a em Compreender as funções.
Para saber como conceder funções de IAM, consulte o artigo Conceder, alterar e revogar o acesso a recursos.