En esta página, se enumeran los permisos que requiere Google Distributed Cloud Connected y los roles de Identity and Access Management (IAM) que los encapsulan.
Permisos y roles de la API de Distributed Cloud Edge Container
En la siguiente tabla, se enumeran los roles del proyecto para la API de Distributed Cloud Edge Container y los permisos conectados de Distributed Cloud que encapsulan. Google Cloud
| Role | Permissions |
|---|---|
Edge Container Admin( Full access to Edge Container all resources. |
|
Edgecontainer Editor( Editor role for edgecontainer |
|
Edge Container Viewer( Read-only access to Edge Container all resources. |
|
Edge Container API Key Admin( Access to manage API Keys. |
|
Edge Container API Key Viewer( Read-only access to API Keys. |
|
Edge Container Identity Provider Admin( Access to manage Identity Providers. |
|
Edge Container Identity Provider Viewer( Read-only access to Identity Providers. |
|
Edge Container Machine User( Access to use Edge Container Machine resources. |
|
Edge Container Cluster offline Credential User( Access to get Edge Container cluster offline credentials |
|
Edge Container Service Account Admin( Access to manage Service Accounts. |
|
Edge Container Service Account Key Admin( Access to manage Service Account Keys. |
|
Edge Container Service Account Key Viewer( Access to view Service Account Keys. |
|
Edge Container Service Account Viewer( Read-only access to Service Accounts. |
|
Edge Container Zonal Project Admin( Access to manage zonal projects. |
|
Edge Container Zonal Project Viewer( Read-only access to zonal projects. |
|
Edge Container Zonal Service Admin( Access to mutate zonal service. |
|
Edge Container Zonal Service Viewer( Read-only access to zonal services. |
|
Edge Container Zone Iam Policy Admin( Access to manage Iam Policy in the zone. |
|
Edge Container Zone Iam Policy Viewer( Read-only access to Iam Policy in the zone. |
|
Edge Container Roles Viewer( Read-only access to Roles in the zone. |
|
Edge Container Zone Viewer( Read-only access to zones. |
|
Service agent roles
Service agent roles should only be granted to service agents.
| Role | Permissions |
|---|---|
Edge Container Cluster Service Agent( Grants the Edge Container Cluster Service Account access to manage resources. |
|
Edge Container Service Agent( Grants the Edge Container Service Account access to manage resources. |
|
Permisos y roles de la API de Distributed Cloud Edge Network
En la siguiente tabla, se enumeran los roles de proyecto para la API de Distributed Cloud Edge Network y los permisos conectados de Distributed Cloud que encapsulan. Google Cloud
| Role | Permissions |
|---|---|
Edge Network Admin( Full access to Edge Network all resources. |
|
Edge Network Editor( Editor role for Edge Network |
|
Edge Network Viewer( Read-only access to Edge Network all resources. |
|
Roles y permisos de la API de Management de hardware de GDC
En la siguiente tabla, se enumeran los roles del proyecto para la API de GDC Hardware Management y los permisos conectados de Distributed Cloud que encapsulan. Google Cloud
| Role | Permissions |
|---|---|
GDC Hardware Management Admin Beta( Full access to GDC Hardware Management resources. |
|
Gdchardwaremanagement Viewer Beta( Viewer role for gdchardwaremanagement |
|
GDC Hardware Management Operator Beta( Create, read, and update access to GDC Hardware Management resources that support those operations. Also grants delete access to HardwareGroup resource. |
|
GDC Hardware Management Reader Beta( Readonly access to GDC Hardware Management resources. |
|
Roles y permisos de Connect Gateway
En la siguiente lista, se describen los roles del proyecto Google Cloud necesarios para que la puerta de enlace de Connect acceda a tus clústeres.
- Administrador de Connect Gateway (
roles/gkehub.gatewayAdmin): Otorga acceso a la API de Connect Gateway. Este rol permite usar la herramienta de línea de comandos dekubectlpara administrar el clúster. - Editor de Connect Gateway (
roles/gkehub.gatewayEditor): Otorga acceso de lectura y escritura al clúster. - Lector de puerta de enlace de Connect (
roles/gkehub.gatewayReader): Otorga acceso de solo lectura al clúster. - Lector de GKE Hub (
roles/gkehub.viewer): Otorga la capacidad de recuperar archivos kubeconfig del clúster.
Roles y permisos de los paquetes de flota del Sincronizador de configuración
En la siguiente lista, se describen los roles de proyecto Google Cloud necesarios para crear y administrar paquetes de la flota.
- Administrador de Config Delivery (
roles/configdelivery.admin): Se requiere para crear y administrar paquetes y lanzamientos de flotas. - Administrador de Developer Connect (
roles/developerconnect.admin): Se requiere para crear y administrar conexiones de repositorios. - Administrador de IAM de proyecto (
roles/resourcemanager.projectIamAdmin): Se requiere para otorgar los roles necesarios a la cuenta de servicio.
Roles de la cuenta de servicio del paquete de la flota
- Publicador del paquete de recursos de Config Delivery (
roles/configdelivery.resourceBundlePublisher): Permite que la cuenta de servicio cree y administre paquetes de recursos y versiones. - Usuario de conexión de Cloud Build (
roles/cloudbuild.connectionUser): Permite que la cuenta de servicio use la conexión del repositorio de Cloud Build. - Logging Log Writer (
roles/logging.logWriter): Permite que la cuenta de servicio escriba registros de compilación. - Escritor de Artifact Registry (
roles/artifactregistry.writer): Permite que la cuenta de servicio envíe paquetes versionados a Artifact Registry. - Usuario de conexión de Developer Connect (
roles/developerconnect.connectionUser): Permite que la cuenta de servicio use la conexión de Developer Connect.
Roles de RBAC en el clúster para el entorno de ejecución de VM en GDC
VM Runtime en GDC usa el control de acceso basado en roles (RBAC) para establecer y aplicar permisos para los recursos administrados dentro del clúster. Es un mapa de permisos de Identity and Access Management al RBAC local de Kubernetes, que se administra a través de la membresía de la flota.
VM Runtime en GDC proporciona cuatro ClusterRoles preconfigurados. En la siguiente lista, se describen estos roles.
kubevm.admin: Otorga acceso completo a todos los recursos relacionados con la VM.kubevm.edit: Otorga acceso de lectura y escritura a todos los recursos relacionados con la VM.kubevm.view: Otorga acceso de lectura a todos los recursos relacionados con la VM.kubevm.cluster.view: Otorga acceso de lectura a los recursos de todo el clúster.
Estos roles se agregan a los siguientes roles predeterminados de Kubernetes:
kubevm.adminse asigna aadminkubevm.editse asigna aeditkubevm.viewse asigna aview
Los usuarios con el rol predeterminado edit obtienen automáticamente permisos de kubevm.edit.