Funções necessárias para instalar o Cloud Service Mesh
Funções necessárias para instalar o Anthos Service Mesh gerido
A tabela seguinte descreve as funções necessárias para instalar o Cloud Service Mesh gerido.
Nome da função | ID da função | Conceda acesso à localização | Descrição |
---|---|---|---|
Administrador do GKE Hub | roles/gkehub.admin | Projeto do Fleet | Acesso total aos GKE Hubs e recursos relacionados. |
Administrador de utilização do serviço | roles/serviceusage.serviceUsageAdmin | Projeto do Fleet | Capacidade de ativar, desativar e inspecionar estados de serviços, inspecionar operações e consumir quota e faturação para um projeto de consumidor. (Note 1) |
Administrador de serviço de AC Beta | roles/privateca.admin | Projeto do Fleet | Acesso total a todos os recursos do serviço de AC. (Note 2) |
Funções necessárias para instalar o Anthos Service Mesh no cluster
A tabela seguinte descreve as funções necessárias para instalar o Cloud Service Mesh no cluster.
Nome da função | ID da função | Conceda acesso à localização | Descrição |
---|---|---|---|
Administrador do GKE Hub | roles/gkehub.admin | Projeto do Fleet | Acesso total aos GKE Hubs e recursos relacionados. |
Administrador do Kubernetes Engine | roles/container.admin | Agrupar projetos. Tenha em atenção que esta função tem de ser concedida no projeto do cluster e do Fleet para associações entre projetos. | Oferece acesso à gestão total de clusters de contentores e dos respetivos objetos da API Kubernetes. |
Administrador de configuração de malha | roles/meshconfig.admin | Projeto de frota e cluster | Fornece as autorizações necessárias para inicializar os componentes geridos da Cloud Service Mesh, como o plano de controlo gerido e a autorização de back-end que permite que as cargas de trabalho comuniquem com o Stackdriver sem que cada uma seja autorizada individualmente (para planos de controlo geridos e no cluster). |
Administrador de IAM de projetos | roles/resourcemanager.projectIamAdmin | Projeto de cluster | Concede autorizações para administrar políticas IAM em projetos. |
Administrador da conta de serviço | roles/iam.serviceAccountAdmin | Projeto do Fleet | Autentique-se como uma conta de serviço. |
Administrador de gestão de serviços | roles/servicemanagement.admin | Projeto do Fleet | Controlo total dos recursos de gestão de serviços Google. |
Administrador de utilização do serviço | roles/serviceusage.serviceUsageAdmin | Projeto do Fleet | Capacidade de ativar, desativar e inspecionar estados de serviço, inspecionar operações e consumir quota e faturação para um projeto de consumidor.(Nota 1) |
Administrador de serviço de AC Beta | roles/privateca.admin | Projeto do Fleet | Acesso total a todos os recursos do serviço de AC. (Note 2) |
Notas:
- Administrador de utilização de serviços: esta função é necessária como pré-requisito para ativar a API
mesh.googleapis.com
quando aprovisiona inicialmente a malha de serviços na nuvem gerida. - Administrador do serviço de AC: esta função só é necessária se estiver a fazer a integração com o serviço de AC.
O que se segue?
Para ver uma lista das autorizações específicas em cada função, copie a função e pesquise-a em Compreender as funções.
Para saber como conceder funções de IAM, consulte o artigo Conceder, alterar e revogar o acesso a recursos.