Controlar el acceso a Cloud Service Mesh en la consola de Google Cloud
El acceso a Cloud Service Mesh en la consola de Google Cloud se controla mediante Gestión de Identidades y Accesos (IAM). Para obtener acceso, un propietario del proyecto debe asignar a los usuarios el rol de editor o de lector del proyecto, o bien los roles más restrictivos que se describen en las siguientes tablas. Para obtener información sobre cómo asignar roles a los usuarios, consulta Conceder, cambiar y revocar el acceso a los recursos.
Roles mínimos de solo lectura
Los usuarios con los siguientes roles solo pueden acceder a las páginas de Cloud Service Mesh para monitorizar. Los usuarios con estos roles no pueden crear ni modificar objetos de nivel de servicio (SLOs) ni hacer cambios en la infraestructura de GKE.
| Nombre del rol de gestión de identidades y accesos | Título del rol | Descripción |
|---|---|---|
| Lector de supervisión | roles/monitoring.viewer | Proporciona acceso de solo lectura para obtener y mostrar información sobre todos los datos y configuraciones de monitorización. |
| Lector de Kubernetes Engine | roles/container.viewer | Proporciona acceso de solo lectura a los recursos de GKE. Este rol no es obligatorio para los clústeres de GKE en Google Cloud. |
| Visualizador de registros | roles/logging.viewer | Proporciona acceso de solo lectura a la página Diagnóstico en la vista de detalles del servicio. Si no se necesita acceder a esta página, se puede omitir este permiso. |
| Lector de uso de servicio | roles/serviceusage.serviceUsageViewer | Permiso para inspeccionar los estados de servicios y las operaciones de un proyecto del consumidor. |
Roles de escritura mínimos
Los usuarios con los siguientes roles pueden crear o modificar SLOs en las páginas de Cloud Service Mesh y crear o modificar políticas de alertas basadas en los SLOs. Los usuarios con estos roles no pueden hacer cambios en la infraestructura de GKE.
| Nombre del rol de gestión de identidades y accesos | Título del rol | Descripción |
|---|---|---|
| Editor de Monitoring | roles/monitoring.editor | Proporciona acceso completo a la información sobre todos los datos de monitorización y las configuraciones. |
| Editor de Kubernetes Engine | roles/container.editor | Proporciona los permisos de escritura necesarios para gestionar los recursos de GKE. |
| Editor de registros | roles/logging.editor | Proporciona los permisos de escritura necesarios para la página Diagnóstico de la vista de detalles del servicio. |
Casos especiales
Se necesitan los siguientes roles para determinadas configuraciones de malla.
| Nombre del rol de gestión de identidades y accesos | Título del rol | Descripción |
|---|---|---|
| Lector de GKE Hub | roles/gkehub.viewer | Proporciona acceso de lectura a los clústeres externos Google Cloud en la Google Cloud consola. Este rol es necesario para que los usuarios puedan ver los clústeresGoogle Cloud desactivados de la malla. Además, tendrás que conceder al usuario el rol de administrador de clústeres con control de acceso basado en roles para que el panel de control pueda consultar el clúster en su nombre. |
Roles y permisos adicionales
Gestión de identidades y accesos tiene roles adicionales y permisos granulares si los roles anteriores no se ajustan a tus necesidades. Por ejemplo, puedes asignar el rol de administrador de Kubernetes Engine o el de administrador de clústeres de Kubernetes Engine para permitir que un usuario administre tu infraestructura de GKE.
Para obtener más información, consulta lo siguiente:
Siguientes pasos
- Explorar Cloud Service Mesh en la Google Cloud consola
- Información general sobre los objetivos de nivel de servicio