Zum Installieren von Cloud Service Mesh erforderliche Rollen
Zum Installieren des verwalteten Anthos Service Mesh erforderliche Rollen
In der folgenden Tabelle werden die Rollen beschrieben, die für die Installation von verwalteten Cloud Service Mesh.
| Rollenname | Rollen-ID | Standort erteilen | Beschreibung |
|---|---|---|---|
| GKE-Hub-Administrator | roles/gkehub.admin | Flottenprojekt | Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen. |
| Service Usage-Administrator | roles/serviceusage.serviceUsageAdmin | Flottenprojekt | Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und Zustände zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Nutzerprojekt zu verarbeiten. (Hinweis 1) |
| CA Service-Administrator Beta | roles/privateca.admin | Flottenprojekt | Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2) |
Zum Installieren von Anthos Service Mesh im Cluster erforderliche Rollen
In der folgenden Tabelle werden die Rollen beschrieben, die für die Installation im Cluster erforderlich sind Cloud Service Mesh.
| Rollenname | Rollen-ID | Standort erteilen | Beschreibung |
|---|---|---|---|
| GKE-Hub-Administrator | roles/gkehub.admin | Flottenprojekt | Vollständiger Zugriff auf GKE-Hubs und zugehörige Ressourcen. |
| Kubernetes Engine-Administrator | roles/container.admin | Clusterprojekt. Beachten Sie, dass diese Rolle sowohl für Flotten- als auch für Clusterprojekte für projektübergreifende Bindungen gewährt werden muss. | Berechtigung zur vollständigen Verwaltung von Container-Clustern und den zugehörigen Kubernetes API-Objekten |
| Mesh-Konfigurationsadministrator | roles/meshconfig.admin | Flotten- und Clusterprojekt | Gewährt Berechtigungen zum Initialisieren verwalteter Komponenten von Cloud Service Mesh wie eine verwaltete Steuerungsebene und Back-End-Berechtigung, die können Arbeitslasten mit Stackdriver kommunizieren, einzeln autorisiert (sowohl für verwaltete als auch clusterinterne Steuerungsebenen). |
| Projekt-IAM-Administrator | roles/resourcemanager.projectIamAdmin | Clusterprojekt | Berechtigung zum Verwalten von Cloud IAM-Richtlinien für Projekte |
| Dienstkontoadministrator | roles/iam.serviceAccountAdmin | Flottenprojekt | Authentifizierung als Dienstkonto. |
| Service Management-Administrator | roles/servicemanagement.admin | Flottenprojekt | Vollständige Kontrolle über Google Service Management-Ressourcen. |
| Service Usage-Administrator | roles/serviceusage.serviceUsageAdmin | Flottenprojekt | Berechtigung, Dienststatus zu aktivieren, zu deaktivieren und zu prüfen, sowie Kontingente und Abrechnungen für einen Nutzer (Hinweis 1) |
| CA Service-Administrator Beta | roles/privateca.admin | Flottenprojekt | Vollständiger Zugriff auf alle CA Service-Ressourcen. (Hinweis 2) |
Hinweise:
- Service Usage Admin: Diese Rolle ist erforderlich.
als Voraussetzung zum Aktivieren der
mesh.googleapis.comAPI in folgenden Fällen: für die Erstbereitstellung des verwalteten Cloud Service Mesh. - CA Service Admin: Diese Rolle ist nur erforderlich, wenn Sie in CA Service integriert sind.
Nächste Schritte
Eine Liste der spezifischen Berechtigungen in jeder Rolle kopieren Sie, indem Sie die Rolle kopieren und nach Informationen zu Rollen suchen.
Weitere Informationen zum Gewähren von IAM-Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.