Auf dieser Seite werden die Berechtigungen aufgeführt, die für Google Distributed Cloud Connected erforderlich sind, sowie die IAM-Rollen (Identity and Access Management), die diese Berechtigungen umfassen.
Rollen und Berechtigungen für die Distributed Cloud Edge Container API
In der folgenden Tabelle sind die Google Cloud Projektrollen für die Distributed Cloud Edge Container API und die darin enthaltenen Berechtigungen für Distributed Cloud Connected aufgeführt.
| Role | Permissions |
|---|---|
Edge Container Admin( Full access to Edge Container all resources. |
|
Edgecontainer Editor( Editor role for edgecontainer |
|
Edge Container Viewer( Read-only access to Edge Container all resources. |
|
Edge Container API Key Admin( Access to manage API Keys. |
|
Edge Container API Key Viewer( Read-only access to API Keys. |
|
Edge Container Identity Provider Admin( Access to manage Identity Providers. |
|
Edge Container Identity Provider Viewer( Read-only access to Identity Providers. |
|
Edge Container Machine User( Access to use Edge Container Machine resources. |
|
Edge Container Cluster offline Credential User( Access to get Edge Container cluster offline credentials |
|
Edge Container Service Account Admin( Access to manage Service Accounts. |
|
Edge Container Service Account Key Admin( Access to manage Service Account Keys. |
|
Edge Container Service Account Key Viewer( Access to view Service Account Keys. |
|
Edge Container Service Account Viewer( Read-only access to Service Accounts. |
|
Edge Container Zonal Project Admin( Access to manage zonal projects. |
|
Edge Container Zonal Project Viewer( Read-only access to zonal projects. |
|
Edge Container Zonal Service Admin( Access to mutate zonal service. |
|
Edge Container Zonal Service Viewer( Read-only access to zonal services. |
|
Edge Container Zone Iam Policy Admin( Access to manage Iam Policy in the zone. |
|
Edge Container Zone Iam Policy Viewer( Read-only access to Iam Policy in the zone. |
|
Edge Container Roles Viewer( Read-only access to Roles in the zone. |
|
Edge Container Zone Viewer( Read-only access to zones. |
|
Service agent roles
Service agent roles should only be granted to service agents.
| Role | Permissions |
|---|---|
Edge Container Cluster Service Agent( Grants the Edge Container Cluster Service Account access to manage resources. |
|
Edge Container Service Agent( Grants the Edge Container Service Account access to manage resources. |
|
Rollen und Berechtigungen für die Distributed Cloud Edge Network API
In der folgenden Tabelle sind die Google Cloud Projektrollen für die Distributed Cloud Edge Network API und die darin enthaltenen Berechtigungen für Distributed Cloud Connected aufgeführt.
| Role | Permissions |
|---|---|
Edge Network Admin( Full access to Edge Network all resources. |
|
Edge Network Editor( Editor role for Edge Network |
|
Edge Network Viewer( Read-only access to Edge Network all resources. |
|
Rollen und Berechtigungen für die GDC Hardware Management API
In der folgenden Tabelle sind die Google Cloud Projektrollen für die GDC Hardware Management API und die darin enthaltenen Berechtigungen für Distributed Cloud Connected aufgeführt.
| Role | Permissions |
|---|---|
GDC Hardware Management Admin Beta( Full access to GDC Hardware Management resources. |
|
Gdchardwaremanagement Viewer Beta( Viewer role for gdchardwaremanagement |
|
GDC Hardware Management Operator Beta( Create, read, and update access to GDC Hardware Management resources that support those operations. Also grants delete access to HardwareGroup resource. |
|
GDC Hardware Management Reader Beta( Readonly access to GDC Hardware Management resources. |
|
Connect-Gateway-Rollen und ‑Berechtigungen
In der folgenden Liste werden die Google Cloud Projekrollen beschrieben, die für den Zugriff des Connect-Gateways auf Ihre Cluster erforderlich sind.
- Connect Gateway-Administrator (
roles/gkehub.gatewayAdmin): Gewährt Zugriff auf die Connect Gateway API. Mit dieser Rolle kann daskubectl-Befehlszeilentool zum Verwalten des Clusters verwendet werden. - Connect Gateway-Bearbeiter (
roles/gkehub.gatewayEditor): Gewährt Lese- und Schreibzugriff auf den Cluster. - Connect Gateway-Leser (
roles/gkehub.gatewayReader): Gewährt Lesezugriff auf den Cluster. - GKE Hub-Betrachter (
roles/gkehub.viewer): Ermöglicht das Abrufen von kubeconfig-Dateien aus dem Cluster.
Rollen und Berechtigungen für Config Sync-Flottenpakete
In der folgenden Liste werden die Google Cloud Projekrollen beschrieben, die zum Erstellen und Verwalten von Flottenpaketen erforderlich sind.
- Config Delivery Admin (
roles/configdelivery.admin): erforderlich, um Flottenpakete und Rollouts zu erstellen und zu verwalten. - Developer Connect Admin (
roles/developerconnect.admin): Erforderlich zum Erstellen und Verwalten von Repository-Verbindungen. - Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin): erforderlich, um dem Dienstkonto die erforderlichen Rollen zuzuweisen.
Rollen für Dienstkonto für Flottenpaket
- Config Delivery Resource Bundle Publisher (
roles/configdelivery.resourceBundlePublisher): Ermöglicht dem Dienstkonto, Ressourcen-Bundles und Releases zu erstellen und zu verwalten. - Cloud Build Connection User (
roles/cloudbuild.connectionUser): Ermöglicht dem Dienstkonto, die Cloud Build-Repository-Verbindung zu verwenden. - Logging Log Writer (
roles/logging.logWriter): Ermöglicht dem Dienstkonto, Build-Logs zu schreiben. - Artifact Registry-Autor (
roles/artifactregistry.writer): Ermöglicht dem Dienstkonto, versionierte Paket-Bundles in Artifact Registry zu übertragen. - Developer Connect Connection User (
roles/developerconnect.connectionUser): Ermöglicht dem Dienstkonto, die Developer Connect-Verbindung zu verwenden.
RBAC-Rollen im Cluster für die VM-Laufzeit in GDC
VM Runtime on GDC verwendet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), um Berechtigungen für verwaltete Ressourcen im Cluster festzulegen und zu erzwingen. Berechtigungen werden von der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) auf die lokale Kubernetes-RBAC abgebildet, die über die Flottenmitgliedschaft verwaltet wird.
VM Runtime on GDC bietet vier vorkonfigurierte ClusterRoles. In der folgenden Liste werden diese Rollen beschrieben.
kubevm.admin: Gewährt vollständigen Zugriff auf alle VM-bezogenen Ressourcen.kubevm.edit: Gewährt Lese- und Schreibzugriff auf alle VM-bezogenen Ressourcen.kubevm.view: Gewährt Lesezugriff auf alle VM-bezogenen Ressourcen.kubevm.cluster.view: Gewährt Lesezugriff auf clusterweite Ressourcen.
Diese Rollen werden in den folgenden Kubernetes-Standardrollen zusammengefasst:
kubevm.adminwirdadminzugeordnet.kubevm.editwirdeditzugeordnet.kubevm.viewwirdviewzugeordnet.
Nutzer mit der Standardrolle edit erhalten automatisch die Berechtigungen kubevm.edit.