在 Google Cloud 控制台中控管 Cloud Service Mesh 的存取權
Google Cloud 控制台中的 Cloud Service Mesh 存取權由 Identity and Access Management (IAM) 控管。如要取得存取權,專案擁有者必須授予使用者「專案編輯者」或「檢視者」角色,或是下表所述的更具限制性的角色。如要瞭解如何向使用者授予角色,請參閱「授予、變更及撤銷資源存取權」。
最低的唯讀角色
具備下列角色的使用者只能監控 Cloud Service Mesh 頁面,具備這些角色的使用者無法建立或修改服務層級物件 (SLO),也無法變更 GKE 基礎架構。
| IAM 角色名稱 | 角色名稱 | 說明 |
|---|---|---|
| Monitoring 檢視者 | roles/monitoring.viewer | 提供唯讀存取權,以取得和列出所有監控資料與設定的相關資訊。 |
| Kubernetes Engine 檢視者 | roles/container.viewer | 提供 GKE 資源的唯讀存取權。 Google Cloud上的 GKE 叢集不需要這個角色。 |
| 記錄檢視器 | roles/logging.viewer | 提供服務詳細資料檢視畫面中「診斷」頁面的唯讀存取權。如果不需要存取這個頁面,則可以省略這項權限。 |
| 服務使用情形檢視者 | roles/serviceusage.serviceUsageViewer | 可檢查消費者專案的服務狀態和作業。 |
最低寫入角色
具備下列角色的使用者可以在 Cloud Service Mesh 頁面中建立或修改 SLO,並根據 SLO 建立或修改警示政策。擁有這些角色的使用者無法變更 GKE 基礎架構。
| IAM 角色名稱 | 角色名稱 | 說明 |
|---|---|---|
| Monitoring 編輯者 | roles/monitoring.editor | 提供所有監控資料和設定相關資訊的完整存取權。 |
| Kubernetes Engine 編輯器 | roles/container.editor | 提供管理 GKE 資源所需的寫入權限。 |
| 記錄編輯器 | roles/logging.editor | 提供服務詳細資料檢視畫面中「診斷」頁面所需的寫入權限。 |
特殊情況
特定網格設定需要下列角色。
| IAM 角色名稱 | 角色名稱 | 說明 |
|---|---|---|
| GKE Hub 檢視者 | roles/gkehub.viewer | 可在 Google Cloud 控制台中查看 Google Cloud 以外的叢集。使用者必須具備這個角色,才能查看網格中的 off-Google Cloud 叢集。此外,您還需要授予使用者叢集管理員 RBAC 角色,讓資訊主頁代為查詢叢集。 |
其他角色和權限
如果上述角色不符合您的需求,IAM 還有其他角色和精細權限。舉例來說,您可能會想授予 Kubernetes Engine 管理員角色或 Kubernetes Engine 叢集管理員角色,讓使用者管理 GKE 基礎架構。
詳情請參閱下列資源: