安装 Cloud Service Mesh 所需的角色
安装代管式 Anthos Service Mesh 所需的角色
下表介绍了安装代管式 Cloud Service Mesh。
角色名称 | 角色 ID | 授予位置 | 说明 |
---|---|---|---|
GKE Hub Admin | roles/gkehub.admin | 舰队项目 | 拥有对 GKE Hub 及相关资源的完全访问权限。 |
Service Usage Admin | roles/serviceusage.serviceUsageAdmin | 舰队项目 | 可启用、停用和检查使用方项目的服务状态、检查该项目的操作,以及使用其配额和结算服务。 (注意 1) |
CA Service Admin Beta 版 | roles/privateca.admin | 舰队项目 | 具有对所有 CA 服务资源的完整访问权限。 (注意 2) |
安装集群内 Anthos Service Mesh 所需的角色
下表介绍了在集群内安装所需的角色 Cloud Service Mesh。
角色名称 | 角色 ID | 授予位置 | 说明 |
---|---|---|---|
GKE Hub Admin | roles/gkehub.admin | 舰队项目 | 拥有对 GKE Hub 及相关资源的完全访问权限。 |
Kubernetes Engine Admin | roles/container.admin | 集群项目。请注意,必须在舰队和集群项目中针对跨项目绑定授予此角色。 | 提供容器集群及其 Kubernetes API 对象的完全管理访问权限。 |
Mesh Config Admin | roles/meshconfig.admin | 舰队与集群项目 | 提供初始化 的受管组件所需的权限 Cloud Service Mesh,例如代管式控制平面和后端权限, 可让工作负载与 Stackdriver 通信,而无需 (针对代管式控制平面和集群内控制平面)单独授权。 |
Project IAM Admin | roles/resourcemanager.projectIamAdmin | 集群项目 | 提供管理项目的 IAM 政策的权限。 |
服务账号管理员 | roles/iam.serviceAccountAdmin | 舰队项目 | 以服务账号身份进行身份验证。 |
Service Management Admin | roles/servicemanagement.admin | 舰队项目 | 拥有对 Google Service Management 资源的完全控制权。 |
Service Usage Admin | roles/serviceusage.serviceUsageAdmin | 舰队项目 | 可启用、停用和检查使用方项目的服务状态、检查该项目的操作,以及使用其配额和结算服务。(注意 1) |
CA Service Admin Beta 版 | roles/privateca.admin | 舰队项目 | 具有对所有 CA 服务资源的完整访问权限。 (注意 2) |
注意:
- Service Usage Admin - 此角色是必要的
作为在下列情况下启用
mesh.googleapis.com
API 的前提条件: 预配代管式 Cloud Service Mesh。 - CA Service Admin - 只有在与 CA Service 集成时才需要此角色。
后续步骤
如需查看每个角色中的特定权限的列表,请复制该角色,并在了解角色中搜索该角色。
如需详细了解如何授予 IAM 角色,请参阅授予、更改和撤消对资源的访问权限。