安裝 Cloud Service Mesh 所需的角色
安裝代管型 Anthos 服務網格所需的角色
下表說明安裝受管理的 Cloud Service Mesh 所需的角色。
| 角色名稱 | 角色 ID | 授予位置資訊 | 說明 |
|---|---|---|---|
| GKE Hub 管理員 | roles/gkehub.admin | 機群專案 | 具備 GKE Hub 和相關資源的完整存取權限。 |
| 服務使用情形管理員 | roles/serviceusage.serviceUsageAdmin | 機群專案 | 可啟用、停用及檢查服務狀態、檢查作業,以及使用消費者專案的配額和帳單。(附註 1) |
| CA 服務管理員 Beta 版 | roles/privateca.admin | 機群專案 | 具備所有 CA 服務資源的完整存取權。 (附註 2) |
安裝叢集內 Anthos 服務網格所需的角色
下表說明在叢集中安裝 Cloud Service Mesh 所需的角色。
| 角色名稱 | 角色 ID | 授予位置資訊 | 說明 |
|---|---|---|---|
| GKE Hub 管理員 | roles/gkehub.admin | 機群專案 | 具備 GKE Hub 和相關資源的完整存取權限。 |
| Kubernetes Engine 管理員 | roles/container.admin | 叢集專案。請注意,您必須在機群和叢集專案中授予這個角色,才能進行跨專案繫結。 | 提供容器叢集及其 Kubernetes API 物件的完整管理權。 |
| 網格設定管理員 | roles/meshconfig.admin | 機群和叢集專案 | 提供初始化 Cloud Service Mesh 受管理元件的必要權限,例如受管理控制層和後端權限,可讓工作負載與 Stackdriver 通訊,而無須個別授權 (適用於受管理和叢集內控制層)。 |
| 專案 IAM 管理員 | roles/resourcemanager.projectIamAdmin | 叢集專案 | 提供管理專案所套用的 IAM 政策的權限。 |
| 服務帳戶管理員 | roles/iam.serviceAccountAdmin | 機群專案 | 以服務帳戶進行驗證。 |
| Service Management 管理員 | roles/servicemanagement.admin | 機群專案 | 具備所有 Google Service Management 資源的完整控制權限。 |
| 服務使用情形管理員 | roles/serviceusage.serviceUsageAdmin | 機群專案 | 可啟用、停用及檢查服務狀態、檢查作業,以及消耗消費者專案的配額和帳單。(附註 1) |
| CA 服務管理員 Beta 版 | roles/privateca.admin | 機群專案 | 具備所有 CA 服務資源的完整存取權。(附註 2) |
注意:
- 服務使用情形管理員:這個角色是必要的先決條件,可在初始佈建 Managed Cloud Service Mesh 時啟用
mesh.googleapis.comAPI。 - CA 服務管理員:只有在您要整合 CA 服務時,才需要這個角色。
後續步驟
如需各角色的特定權限清單,請複製角色並搜尋該角色,參閱瞭解角色。
如要進一步瞭解如何授予身分與存取權管理角色,請參閱「授予、變更及撤銷資源存取權」。