Contrôler l'accès à Cloud Service Mesh dans la console Google Cloud

L'accès à Cloud Service Mesh dans la console Google Cloud est contrôlé par la gestion de l'authentification et des accès (IAM). Pour y accéder, un propriétaire de projet doit accorder aux utilisateurs le rôle d'éditeur ou de lecteur de projet, ou les rôles les plus restrictifs décrits dans les tableaux suivants. Pour en savoir plus sur l'attribution de rôles aux utilisateurs, consultez la page Accorder, modifier et révoquer les accès à des ressources.

Rôles minimaux en lecture seule

Les utilisateurs dotés des rôles suivants ne peuvent accéder aux pages Cloud Service Mesh qu'à des fins de surveillance. Les utilisateurs dotés de ces rôles ne peuvent ni créer ou modifier des objets de niveau de service (SLO), ni apporter des modifications à l'infrastructure GKE.

Nom du rôle IAM Titre du rôle Description
Lecteur Monitoring roles/monitoring.viewer Fournit un accès en lecture seule permettant d'obtenir et de présenter des informations sur toutes les configurations et les données de surveillance.
Lecteur Kubernetes Engine roles/container.viewer Fournit un accès en lecture seule aux ressources GKE. Ce rôle n'est pas obligatoire pour les clusters GKE sur Google Cloud.
Visionneuse de journaux roles/logging.viewer Fournit un accès en lecture seule à la page "Diagnostic" dans la vue "Détails du service". Cette autorisation peut être omise si l'accès à cette page n'est pas nécessaire.

Rôles d'écriture minimaux

Les utilisateurs dotés des rôles suivants peuvent créer ou modifier des SLO sur les pages Cloud Service Mesh, et créer ou modifier des règles d'alerte basées sur les SLO. Les utilisateurs dotés de ces rôles ne peuvent pas modifier l'infrastructure GKE.

Nom du rôle IAM Titre du rôle Description
Éditeur Monitoring roles/monitoring.editor Fournit un accès complet aux informations sur toutes les configurations et les données de surveillance.
Éditeur Kubernetes Engine roles/container.editor Fournit les autorisations d'écriture nécessaires pour les ressources GKE gérées.
Éditeur de journaux roles/logging.editor Fournit les autorisations d'écriture nécessaires pour la page "Diagnostic" dans la vue "Détails du service".

Cas particuliers

Les rôles suivants sont requis pour certaines configurations de réseau maillé.

Nom du rôle IAM Titre du rôle Description
Lecteur GKE Hub roles/gkehub.viewer Fournit un accès en lecture aux clusters en dehors de Google Cloud dans la console Google Cloud. Ce rôle est nécessaire pour que les utilisateurs puissent afficher les clusters hors Google Cloud dans le réseau maillé. Vous devez également accorder à l'utilisateur le rôle RBAC cluster-admin pour permettre au tableau de bord d'interroger le cluster en son nom.

Rôles et autorisations supplémentaires

IAM dispose de rôles supplémentaires et d'autorisations précises si les rôles ci-dessus ne répondent pas à vos besoins. Par exemple, vous pouvez attribuer le rôle "Administrateur Kubernetes Engine" ou "Administrateur de clusters Kubernetes Engine" pour permettre à un utilisateur d'administrer votre infrastructure GKE.

Pour en savoir plus, consultez les ressources suivantes :

Étape suivante