Como controlar o acesso ao Cloud Service Mesh no console Google Cloud
O acesso ao Cloud Service Mesh no console Google Cloud é controlado pelo Gerenciamento de identidade e acesso (IAM). Para ter acesso, um proprietário precisa conceder aos usuários o papel de Editor ou de Visualizador do projeto ou os papéis mais restritivos descritos nas tabelas a seguir. Para saber mais sobre como conceder papéis a usuários, consulte Como conceder, alterar e revogar o acesso a recursos.
Papéis mínimos somente leitura
Os usuários com os papéis a seguir podem acessar as páginas do Cloud Service Mesh somente para fins de monitoramento. Os usuários com esses papéis não podem criar ou modificar objetos de nível de serviço (SLOs) ou fazer alterações na infraestrutura do GKE.
| Nome do papel do IAM | Título do papel | Descrição |
|---|---|---|
| Leitor do Monitoring | roles/monitoring.viewer | Dá acesso somente leitura para receber e listar informações sobre todos os dados e configurações de monitoramento. |
| Leitor do Kubernetes Engine | roles/container.viewer | Fornece acesso somente leitura aos recursos do GKE. Esse papel não é necessário para clusters do GKE no Google Cloud. |
| Visualizador de registros | roles/logging.viewer | Dá acesso somente leitura à página "Diagnóstico" na visualização de detalhes do serviço. Se o acesso a esta página não for necessário, esta permissão poderá ser omitida. |
Papéis mínimos de gravação
Os usuários com os papéis a seguir podem criar ou modificar SLOs nas páginas do Cloud Service Mesh e criar ou modificar políticas de alertas com base nos SLOs. Os usuários com esses papéis não podem fazer alterações na infraestrutura do GKE.
| Nome do papel do IAM | Título do papel | Descrição |
|---|---|---|
| Editor do Monitoring | roles/monitoring.editor | Dá acesso total às informações sobre todos os dados e configurações de monitoramento. |
| Editor do Kubernetes Engine | roles/container.editor | Concede permissões de gravação necessárias para recursos gerenciados do GKE. |
| Editor de registros | roles/logging.editor | Concede permissões de gravação necessárias para a página "Diagnóstico" na visualização de detalhes do serviço. |
Casos especiais
Os papéis a seguir são necessários para determinadas configurações da malha.
| Nome do papel do IAM | Título do papel | Descrição |
|---|---|---|
| Leitor do GKE Hub | roles/gkehub.viewer | Fornece acesso de visualização a clusters fora do Google Cloud no console Google Cloud . Esse papel é necessário para que os usuários acessem clusters fora doGoogle Cloud na malha. Além disso, você precisa conceder ao usuário o papel de RBAC do administrador do cluster para permitir que o painel consulte o cluster em nome dele. |
Papéis e permissões extras
O IAM tem papéis adicionais e permissões granulares se os papéis acima não atenderem às suas necessidades. Por exemplo, conceda o papel de administrador do Kubernetes Engine ou o de administrador do cluster do Kubernetes Engine para permitir que um usuário administre sua infraestrutura do GKE.
Para ver mais informações, consulte os seguintes tópicos: