Controlar o acesso à Cloud Service Mesh na Google Cloud consola
O acesso à Cloud Service Mesh na Google Cloud consola é controlado pela gestão de identidade e de acesso (IAM). Para obter acesso, um proprietário do projeto tem de conceder aos utilizadores a função de editor ou leitor do projeto, ou as funções mais restritivas descritas nas tabelas seguintes. Para ver informações sobre como conceder funções aos utilizadores, consulte o artigo Conceder, alterar e revogar o acesso a recursos.
Funções de leitura mínimas
Os utilizadores com as seguintes funções podem aceder às páginas do Cloud Service Mesh apenas para fins de monitorização. Os utilizadores com estas funções não podem criar nem modificar objetos ao nível do serviço (SLOs) nem fazer alterações à infraestrutura do GKE.
| Nome da função de IAM | Título da função | Descrição |
|---|---|---|
| Visualizador de monitorização | roles/monitoring.viewer | Fornece acesso só de leitura para obter e listar informações sobre todos os dados e configurações de monitorização. |
| Leitor do Kubernetes Engine | roles/container.viewer | Fornece acesso só de leitura aos recursos do GKE. Esta função não é necessária para clusters do GKE em Google Cloud. |
| Visualizador de registos | roles/logging.viewer | Fornece acesso só de leitura à página Diagnósticos na vista de detalhes do serviço. Se não for necessário aceder a esta página, pode omitir esta autorização. |
Funções de escrita mínimas
Os utilizadores com as seguintes funções podem criar ou modificar SLOs nas páginas do Cloud Service Mesh e criar ou modificar políticas de alerta com base nos SLOs. Os utilizadores com estas funções não podem fazer alterações à infraestrutura do GKE.
| Nome da função de IAM | Título da função | Descrição |
|---|---|---|
| Editor de monitorização | roles/monitoring.editor | Fornece acesso total a informações sobre todos os dados de monitorização e configurações. |
| Editor do Kubernetes Engine | roles/container.editor | Fornece as autorizações de escrita necessárias para gerir recursos do GKE. |
| Editor de registos | roles/logging.editor | Concede as autorizações de escrita necessárias para a página Diagnósticos na vista de detalhes do serviço. |
Casos especiais
As seguintes funções são necessárias para configurações de malha específicas.
| Nome da função de IAM | Título da função | Descrição |
|---|---|---|
| Visualizador do GKE Hub | roles/gkehub.viewer | Fornece acesso de visualização a clusters fora Google Cloud na Google Cloud consola. Esta função é necessária para que os utilizadores vejam osGoogle Cloud clusters fora da malha. Além disso, tem de conceder ao utilizador a função RBAC cluster-admin para permitir que o painel de controlo consulte o cluster em seu nome. |
Funções e autorizações adicionais
O IAM tem funções adicionais e autorizações detalhadas se as funções acima não satisfizerem as suas necessidades. Por exemplo, pode querer conceder a função de administrador do Kubernetes Engine ou a função de administrador do cluster do Kubernetes Engine para permitir que um utilizador administre a sua infraestrutura do GKE.
Para mais informações, consulte o seguinte: