Roles necesarios para instalar Cloud Service Mesh
Roles necesarios para instalar Anthos Service Mesh gestionado
En la siguiente tabla se describen los roles necesarios para instalar Cloud Service Mesh gestionado.
| Nombre del rol | ID de rol | Conceder ubicación | Descripción |
|---|---|---|---|
| Administrador de GKE Hub | roles/gkehub.admin | Proyecto de flota | Acceso completo a GKE Hubs y a los recursos relacionados. |
| Administrador del uso del servicio | roles/serviceusage.serviceUsageAdmin | Proyecto de flota | Permiso para habilitar, inhabilitar e inspeccionar estados de servicio, además de inspeccionar operaciones y consumir cuotas y facturación en un proyecto de consumidor. (Nota 1) |
| Administrador del Servicio de Autoridades de Certificación beta | roles/privateca.admin | Proyecto de flota | Acceso completo a todos los recursos del Servicio de Autoridades de Certificación. (Nota 2) |
Roles necesarios para instalar Anthos Service Mesh en clústeres
En la siguiente tabla se describen los roles necesarios para instalar Cloud Service Mesh en el clúster.
| Nombre del rol | ID de rol | Conceder ubicación | Descripción |
|---|---|---|---|
| Administrador de GKE Hub | roles/gkehub.admin | Proyecto de flota | Acceso completo a GKE Hubs y a los recursos relacionados. |
| Administrador de Kubernetes Engine | roles/container.admin | Proyecto de clúster. Ten en cuenta que este rol se debe conceder tanto en el proyecto de flota como en el de clúster para las vinculaciones entre proyectos. | Proporciona acceso a la gestión total de los clústeres de contenedores y de sus objetos de la API de Kubernetes. |
| Administrador de configuración de la malla | roles/meshconfig.admin | Proyecto de flota y clúster | Proporciona los permisos necesarios para inicializar los componentes gestionados de Cloud Service Mesh, como el plano de control gestionado y el permiso de backend que permite que las cargas de trabajo se comuniquen con Stackdriver sin que cada una de ellas se autorice individualmente (tanto para los planos de control gestionados como para los del clúster). |
| Administrador de gestión de identidades y accesos de proyectos | roles/resourcemanager.projectIamAdmin | Proyecto de clúster | Proporciona permisos para administrar políticas de gestión de identidades y accesos en proyectos. |
| Administrador de cuentas de servicio | roles/iam.serviceAccountAdmin | Proyecto de flota | Autentícate como cuenta de servicio. |
| Administrador de gestión de servicios | roles/servicemanagement.admin | Proyecto de flota | Control absoluto sobre los recursos de Google Service Management. |
| Administrador del uso del servicio | roles/serviceusage.serviceUsageAdmin | Proyecto de flota | Permiso para habilitar, inhabilitar e inspeccionar estados de servicio, además de inspeccionar operaciones y consumir cuotas y facturación en un proyecto de consumidor.(Nota 1) |
| Administrador del Servicio de Autoridades de Certificación beta | roles/privateca.admin | Proyecto de flota | Acceso completo a todos los recursos del Servicio de Autoridades de Certificación. (Nota 2) |
Notas:
- Administrador de Uso de Servicio: este rol es necesario como requisito previo para habilitar la API
mesh.googleapis.comal aprovisionar inicialmente Cloud Service Mesh gestionado. - Administrador del servicio de AC: este rol solo es necesario si vas a integrar el servicio de AC.
Siguientes pasos
Para ver una lista de los permisos específicos de cada rol, copia el rol y búscalo en el artículo Descripción de roles.
Para obtener más información sobre cómo conceder roles de gestión de identidades y accesos, consulta el artículo Conceder, cambiar y revocar el acceso a los recursos.