Cette page liste les autorisations requises par Google Distributed Cloud Connected et les rôles Identity and Access Management (IAM) qui les englobent.
Rôles et autorisations de l'API Distributed Cloud Edge Container
Le tableau suivant répertorie les rôles de projet Google Cloud pour l'API Distributed Cloud Edge Container et les autorisations Distributed Cloud connectées qu'ils englobent.
| Role | Permissions |
|---|---|
Edge Container Admin( Full access to Edge Container all resources. |
|
Edgecontainer Editor( Editor role for edgecontainer |
|
Edge Container Viewer( Read-only access to Edge Container all resources. |
|
Edge Container API Key Admin( Access to manage API Keys. |
|
Edge Container API Key Viewer( Read-only access to API Keys. |
|
Edge Container Identity Provider Admin( Access to manage Identity Providers. |
|
Edge Container Identity Provider Viewer( Read-only access to Identity Providers. |
|
Edge Container Machine User( Access to use Edge Container Machine resources. |
|
Edge Container Cluster offline Credential User( Access to get Edge Container cluster offline credentials |
|
Edge Container Service Account Admin( Access to manage Service Accounts. |
|
Edge Container Service Account Key Admin( Access to manage Service Account Keys. |
|
Edge Container Service Account Key Viewer( Access to view Service Account Keys. |
|
Edge Container Service Account Viewer( Read-only access to Service Accounts. |
|
Edge Container Zonal Project Admin( Access to manage zonal projects. |
|
Edge Container Zonal Project Viewer( Read-only access to zonal projects. |
|
Edge Container Zonal Service Admin( Access to mutate zonal service. |
|
Edge Container Zonal Service Viewer( Read-only access to zonal services. |
|
Edge Container Zone Iam Policy Admin( Access to manage Iam Policy in the zone. |
|
Edge Container Zone Iam Policy Viewer( Read-only access to Iam Policy in the zone. |
|
Edge Container Roles Viewer( Read-only access to Roles in the zone. |
|
Edge Container Zone Viewer( Read-only access to zones. |
|
Service agent roles
Service agent roles should only be granted to service agents.
| Role | Permissions |
|---|---|
Edge Container Cluster Service Agent( Grants the Edge Container Cluster Service Account access to manage resources. |
|
Edge Container Service Agent( Grants the Edge Container Service Account access to manage resources. |
|
Rôles et autorisations de l'API Distributed Cloud Edge Network
Le tableau suivant répertorie les rôles de projet Google Cloud pour l'API Distributed Cloud Edge Network et les autorisations Distributed Cloud associées.
| Role | Permissions |
|---|---|
Edge Network Admin( Full access to Edge Network all resources. |
|
Edge Network Editor( Editor role for Edge Network |
|
Edge Network Viewer( Read-only access to Edge Network all resources. |
|
Rôles et autorisations de l'API GDC Hardware Management
Le tableau suivant répertorie les rôles de projet Google Cloud pour l'API GDC Hardware Management et les autorisations Distributed Cloud associées.
| Role | Permissions |
|---|---|
GDC Hardware Management Admin Beta( Full access to GDC Hardware Management resources. |
|
Gdchardwaremanagement Viewer Beta( Viewer role for gdchardwaremanagement |
|
GDC Hardware Management Operator Beta( Create, read, and update access to GDC Hardware Management resources that support those operations. Also grants delete access to HardwareGroup resource. |
|
GDC Hardware Management Reader Beta( Readonly access to GDC Hardware Management resources. |
|
Rôles et autorisations de la passerelle Connect
La liste suivante décrit les rôles de projet Google Cloud nécessaires à la passerelle de connexion pour accéder à vos clusters.
- Administrateur Connect Gateway (
roles/gkehub.gatewayAdmin) : accorde l'accès à l'API Connect Gateway. Ce rôle permet d'utiliser l'outil de ligne de commandekubectlpour gérer le cluster. - Éditeur de la passerelle Connect (
roles/gkehub.gatewayEditor) : accorde un accès en lecture et en écriture au cluster. - Lecteur Connect Gateway (
roles/gkehub.gatewayReader) : accorde un accès en lecture seule au cluster. - Lecteur GKE Hub (
roles/gkehub.viewer) : permet de récupérer les fichiers kubeconfig du cluster.
Rôles et autorisations des packages de parc Config Sync
La liste suivante décrit les rôles de projet Google Cloud requis pour créer et gérer des packages de parc.
- Administrateur Config Delivery (
roles/configdelivery.admin) : requis pour créer et gérer les packages et les déploiements de parc. - Administrateur Developer Connect (
roles/developerconnect.admin) : rôle requis pour créer et gérer les connexions de dépôt. - Administrateur IAM du projet (
roles/resourcemanager.projectIamAdmin) : requis pour accorder les rôles nécessaires au compte de service.
Rôles de compte de service du package de parc
- Éditeur de groupe de ressources Config Delivery (
roles/configdelivery.resourceBundlePublisher) : permet au compte de service de créer et de gérer des groupes de ressources et des versions. - Utilisateur de la connexion Cloud Build (
roles/cloudbuild.connectionUser) : permet au compte de service d'utiliser la connexion au dépôt Cloud Build. - Rédacteur de journaux Logging (
roles/logging.logWriter) : permet au compte de service d'écrire des journaux de compilation. - Rédacteur Artifact Registry (
roles/artifactregistry.writer) : permet au compte de service d'envoyer des packages groupés versionnés vers Artifact Registry. - Utilisateur de connexion Developer Connect (
roles/developerconnect.connectionUser) : permet au compte de service d'utiliser la connexion Developer Connect.
Rôles RBAC dans le cluster pour l'environnement d'exécution de VM sur GDC
L'environnement d'exécution des VM sur GDC utilise le contrôle des accès basé sur les rôles (RBAC) pour définir et appliquer des autorisations aux ressources gérées dans le cluster. Les autorisations sont mappées d'Identity and Access Management au RBAC Kubernetes local, géré par l'appartenance au parc.
L'environnement d'exécution de VM sur GDC fournit quatre ClusterRoles préconfigurés. La liste suivante décrit ces rôles.
kubevm.admin: accorde un accès complet à toutes les ressources liées aux VM.kubevm.edit: accorde un accès en lecture et en écriture à toutes les ressources liées aux VM.kubevm.view: accorde un accès en lecture à toutes les ressources liées aux VM.kubevm.cluster.view: accorde un accès en lecture aux ressources à l'échelle du cluster.
Ces rôles sont agrégés aux rôles Kubernetes par défaut suivants :
kubevm.admincorrespond àadminkubevm.editcorrespond àeditkubevm.viewcorrespond àview
Les utilisateurs disposant du rôle edit par défaut obtiennent automatiquement les autorisations kubevm.edit.