Cloud Service Mesh のインストールに必要なロール
マネージド Anthos Service Mesh のインストールに必要なロール
次の表に、マネージド Cloud Service Mesh のインストールに必要なロールを示します。
| ロール名 | ロール ID | 付与する場所 | 説明 |
|---|---|---|---|
| GKE Hub 管理者 | roles/gkehub.admin | フリート プロジェクト | GKE Hub と関連リソースに対する完全アクセス権。 |
| Service Usage 管理者 | roles/serviceusage.serviceUsageAdmin | フリート プロジェクト | サービス状態の有効化、無効化、検査、オペレーションの検査、ユーザー プロジェクトの割り当てと請求の利用が可能な権限。(注 1) |
| CA Service 管理者ベータ版 | roles/privateca.admin | フリート プロジェクト | CA Service のすべてのリソースへの完全アクセス権。(注 2) |
クラスタ内 Anthos Service Mesh のインストールに必要なロール
次の表に、クラスタ内 Cloud Service Mesh のインストールに必要なロールを示します。
| ロール名 | ロール ID | 付与する場所 | 説明 |
|---|---|---|---|
| GKE Hub 管理者 | roles/gkehub.admin | フリート プロジェクト | GKE Hub と関連リソースに対する完全アクセス権。 |
| Kubernetes Engine 管理者 | roles/container.admin | クラスタ プロジェクト。このロールは、クロス プロジェクト バインディング用にフリートとクラスタ プロジェクトの両方で付与する必要があります。 | コンテナ クラスタと、それらの Kubernetes API オブジェクトのすべてを管理できるアクセス権を付与します。 |
| メッシュ構成管理者 | roles/meshconfig.admin | フリートとクラスタ プロジェクト | Cloud Service Mesh のマネージド コンポーネントを初期化するために必要な権限を提供します。たとえば、(マネージド コントロール プレーンとクラスタ内コントロール プレーンの両方について)個別に認証しなくてもワークロードが Stackdriver と通信できるようにする、マネージド コントロール プレーンとバックエンドの権限です。 |
| プロジェクト IAM 管理者 | roles/resourcemanager.projectIamAdmin | クラスタ プロジェクト | プロジェクトの IAM ポリシーを管理する権限を付与します。 |
| サービス アカウント管理者 | roles/iam.serviceAccountAdmin | フリート プロジェクト | サービス アカウントとして認証します。 |
| Service Management 管理者 | roles/servicemanagement.admin | フリート プロジェクト | Google Service Management リソースへの完全アクセス権。 |
| Service Usage 管理者 | roles/serviceusage.serviceUsageAdmin | フリート プロジェクト | サービス状態の有効化、無効化、検査、オペレーションの検査、ユーザー プロジェクトの割り当てと請求の利用が可能です。(注 1) |
| CA Service 管理者ベータ版 | roles/privateca.admin | フリート プロジェクト | CA Service のすべてのリソースへの完全アクセス権。 (注 2) |
注:
- Service Usage 管理者 - このロールは、マネージド Cloud Service Mesh を最初にプロビジョニングするときに
mesh.googleapis.comAPI を有効にするための前提条件として必要です。 - CA Service 管理者 - このロールは、CA Service と統合する場合にのみ必要です。
次のステップ
各ロールの特定の権限のリストについて、ロールをコピーし、ロールについてで検索する。
IAM のロールを付与する方法について、リソースへのアクセス権の付与、変更、取り消しで確認する。