Controla el acceso a Cloud Service Mesh en la consola de Google Cloud
El acceso a Cloud Service Mesh en la consola de Google Cloud se controla mediante la Administración de identidades y accesos (IAM). Para obtener acceso, el propietario del proyecto debe otorgar a los usuarios la función de editor o visualizador del proyecto, o las funciones más restrictivas que se describen en las siguientes tablas. Para obtener más información sobre cómo otorgar funciones a los usuarios, consulta Otorga, cambia y revoca el acceso a los recursos.
Funciones mínimas de solo lectura
Los usuarios con los siguientes roles pueden acceder a las páginas de Cloud Service Mesh solo con fines de supervisión. Los usuarios con estas funciones no pueden crear ni modificar objetos de nivel de servicio (SLO) ni hacer cambios en la infraestructura de GKE.
Nombre de la función de IAM | Título de la función | Descripción |
---|---|---|
Visualizador de Monitoring | roles/tracking.viewer | Proporciona acceso de solo lectura para obtener y enumerar la información sobre todos los datos de supervisión y configuraciones. |
Lector de Kubernetes Engine | roles/container.viewer | Proporciona acceso de solo lectura a los recursos de GKE. Este rol no es obligatorio para los clústeres de GKE en Google Cloud. |
Visor de registros | roles/logging.viewer | Proporciona acceso de solo lectura a la página Diagnóstico en la vista de detalles del servicio. Si no se necesita acceso a esta página, es posible que se omita este permiso. |
Funciones mínimas de escritura
Los usuarios con los siguientes roles pueden crear o modificar los SLO en las páginas de Cloud Service Mesh y crear o modificar políticas de alertas basadas en SLO. Los usuarios con estas funciones no pueden realizar cambios en la infraestructura de GKE.
Nombre de la función de IAM | Título de la función | Descripción |
---|---|---|
Editor de Monitoring | roles/monitoring.editor | Proporciona acceso completo a la información sobre todos los datos y la configuración de supervisión. |
Editor de Kubernetes Engine | roles/container.editor | Proporciona los permisos de escritura necesarios para los recursos administrados de GKE. |
Editor de registros | roles/logging.editor | Proporciona los permisos de escritura necesarios para la página Diagnóstico en la vista de detalles del servicio. |
Casos especiales:
Se requieren los siguientes roles para configuraciones de malla particulares.
Nombre de la función de IAM | Título de la función | Descripción |
---|---|---|
Visualizador de GKE Hub | roles/gkehub.viewer | Proporciona acceso de lectura a los clústeres fuera de Google Cloud en la consola de Google Cloud. Este rol es obligatorio para que los usuarios vean clústeres fuera de Google Cloud en la malla. Además, deberás otorgar al usuario el rol de RBAC de administrador del clúster para permitir que el panel consulte el clúster en su nombre. |
Funciones y permisos adicionales
IAM tiene funciones adicionales y permisos detallados si las funciones anteriores no satisfacen tus necesidades. Por ejemplo, es posible que desees otorgar la función de administrador de Kubernetes Engine o la función de administrador del clúster de Kubernetes Engine para permitir que un usuario administre tu infraestructura de GKE.
Para obtener más información, consulta lo siguiente:
¿Qué sigue?
- Explora la malla de servicios de Cloud en la consola de Google Cloud
- Descripción general de objetivos de nivel de servicio