Controllo dell'accesso a Cloud Service Mesh nella Google Cloud console
L'accesso a Cloud Service Mesh nella Google Cloud console รจ controllato da Identity and Access Management (IAM). Per ottenere l'accesso, un proprietario del progetto deve concedere agli utenti il ruolo Editor di progetto o Visualizzatore o i ruoli piรน restrittivi descritti nelle tabelle seguenti. Per informazioni su come concedere ruoli agli utenti, consulta Concessione, modifica e revoca dell'accesso alle risorse.
Ruoli di sola lettura minimi
Gli utenti con i seguenti ruoli possono accedere alle pagine di Cloud Service Mesh solo per scopi di monitoraggio. Gli utenti con questi ruoli non possono creare o modificare oggetti a livello di servizio (SLO) nรฉ apportare modifiche all'infrastruttura GKE.
| Nome del ruolo IAM | Titolo del ruolo | Descrizione |
|---|---|---|
| Monitoring Viewer | roles/monitoring.viewer | Fornisce l'accesso di sola lettura per recuperare ed elencare le informazioni su tutti i dati e le configurazioni del monitoraggio. |
| Kubernetes Engine Viewer | roles/container.viewer | Fornisce l'accesso di sola lettura alle risorse GKE. Questo ruolo non รจ necessario per i cluster GKE su Google Cloud. |
| Visualizzatore log | roles/logging.viewer | Fornisce l'accesso di sola lettura alla pagina Diagnostica nella visualizzazione dei dettagli del servizio. Se l'accesso a questa pagina non รจ necessario, questa autorizzazione puรฒ essere ommessa. |
| Service Usage Viewer | roles/serviceusage.serviceUsageViewer | Puรฒ analizzare gli stati di servizio e le operazioni di un progetto consumer. |
Ruoli di scrittura minimi
Gli utenti con i seguenti ruoli possono creare o modificare gli SLO nelle pagine di Cloud Service Mesh e creare o modificare i criteri di avviso in base agli SLO. Gli utenti con questi ruoli non possono apportare modifiche all'infrastruttura GKE.
| Nome del ruolo IAM | Titolo del ruolo | Descrizione |
|---|---|---|
| Monitoring Editor | roles/monitoring.editor | Fornisce l'accesso completo alle informazioni su tutti i dati e le configurazioni di monitoraggio. |
| Kubernetes Engine Editor | roles/container.editor | Fornisce le autorizzazioni di scrittura necessarie per le risorse GKE gestite. |
| Editor dei log | roles/logging.editor | Fornisce le autorizzazioni di scrittura necessarie per la pagina Diagnostica nella visualizzazione dei dettagli del servizio. |
Casi speciali
I seguenti ruoli sono obbligatori per determinate configurazioni del mesh.
| Nome del ruolo IAM | Titolo del ruolo | Descrizione |
|---|---|---|
| Visualizzatore GKE Hub | roles/gkehub.viewer | Fornisce l'accesso in visualizzazione ai cluster esterni Google Cloud nella Google Cloud console. Questo ruolo รจ necessario per consentire agli utenti di visualizzare i cluster off-Google Cloud nel mesh. Inoltre, dovrai concedere all'utente il ruolo RBAC cluster-admin per consentire alla dashboard di eseguire query sul cluster per suo conto. |
Ruoli e autorizzazioni aggiuntivi
IAM dispone di ruoli e autorizzazioni granulari aggiuntivi se i ruoli precedenti non soddisfano le tue esigenze. Ad esempio, potresti voler concedere il ruolo Amministratore Kubernetes Engine o il ruolo Amministratore cluster Kubernetes Engine per consentire a un utente di amministrare la tua infrastruttura GKE.
Per ulteriori informazioni, consulta quanto segue:
Passaggi successivi
- Esplora Cloud Service Mesh nella Google Cloud console
- Panoramica degli obiettivi del livello di servizio