このページでは、Google Distributed Cloud コネクテッド に必要な権限と、それらをカプセル化する Identity and Access Management(IAM)のロールの一覧を示します。
Distributed Cloud Edge Container API のロールと権限
次の表に、Distributed Cloud Edge Container API の Google Cloud プロジェクト ロール と、カプセル化する Distributed Cloud connected の権限を示します。
| Role | Permissions |
|---|---|
Edge Container Admin( Full access to Edge Container all resources. |
|
Edgecontainer Editor( Editor role for edgecontainer |
|
Edge Container Viewer( Read-only access to Edge Container all resources. |
|
Edge Container API Key Admin( Access to manage API Keys. |
|
Edge Container API Key Viewer( Read-only access to API Keys. |
|
Edge Container Identity Provider Admin( Access to manage Identity Providers. |
|
Edge Container Identity Provider Viewer( Read-only access to Identity Providers. |
|
Edge Container Machine User( Access to use Edge Container Machine resources. |
|
Edge Container Cluster offline Credential User( Access to get Edge Container cluster offline credentials |
|
Edge Container Service Account Admin( Access to manage Service Accounts. |
|
Edge Container Service Account Key Admin( Access to manage Service Account Keys. |
|
Edge Container Service Account Key Viewer( Access to view Service Account Keys. |
|
Edge Container Service Account Viewer( Read-only access to Service Accounts. |
|
Edge Container Zonal Project Admin( Access to manage zonal projects. |
|
Edge Container Zonal Project Viewer( Read-only access to zonal projects. |
|
Edge Container Zonal Service Admin( Access to mutate zonal service. |
|
Edge Container Zonal Service Viewer( Read-only access to zonal services. |
|
Edge Container Zone Iam Policy Admin( Access to manage Iam Policy in the zone. |
|
Edge Container Zone Iam Policy Viewer( Read-only access to Iam Policy in the zone. |
|
Edge Container Roles Viewer( Read-only access to Roles in the zone. |
|
Edge Container Zone Viewer( Read-only access to zones. |
|
Service agent roles
Service agent roles should only be granted to service agents.
| Role | Permissions |
|---|---|
Edge Container Cluster Service Agent( Grants the Edge Container Cluster Service Account access to manage resources. |
|
Edge Container Service Agent( Grants the Edge Container Service Account access to manage resources. |
|
Distributed Cloud Edge Network API のロールと権限
次の表に、Distributed Cloud Edge Network API の Google Cloud プロジェクト ロール と、カプセル化する Distributed Cloud connected の権限を示します。
| Role | Permissions |
|---|---|
Edge Network Admin( Full access to Edge Network all resources. |
|
Edge Network Editor( Editor role for Edge Network |
|
Edge Network Viewer( Read-only access to Edge Network all resources. |
|
GDC Hardware Management API のロールと権限
次の表に、GDC Hardware Management API の Google Cloud プロジェクト ロール と、カプセル化する Distributed Cloud connected の権限を示します。
| Role | Permissions |
|---|---|
GDC Hardware Management Admin Beta( Full access to GDC Hardware Management resources. |
|
Gdchardwaremanagement Viewer Beta( Viewer role for gdchardwaremanagement |
|
GDC Hardware Management Operator Beta( Create, read, and update access to GDC Hardware Management resources that support those operations. Also grants delete access to HardwareGroup resource. |
|
GDC Hardware Management Reader Beta( Readonly access to GDC Hardware Management resources. |
|
Connect Gateway のロールと権限
次のリストは、 Google Cloud Connect Gateway がクラスタにアクセスするために必要な プロジェクト ロールを示しています。
- Connect Gateway 管理者 (
roles/gkehub.gatewayAdmin): Connect Gateway API へのアクセス権を付与します。このロールを使用すると、kubectlコマンドライン ツールを使用してクラスタを管理できます。 - Connect Gateway 編集者 (
roles/gkehub.gatewayEditor): クラスタに対する読み取り / 書き込みアクセス権を付与します。 - Connect Gateway 読み取り (
roles/gkehub.gatewayReader): クラスタに対する読み取り専用アクセス権を付与します。 - GKE Hub 閲覧者 (
roles/gkehub.viewer): クラスタから kubeconfig ファイルを取得する権限を付与します。
Config Sync フリート パッケージのロールと権限
次のリストは、フリート パッケージの作成 と管理に必要なプロジェクト ロールを示しています。 Google Cloud
- Config Delivery 管理者 (
roles/configdelivery.admin): フリート パッケージとロールアウトの作成と管理に必要です。 - Developer Connect 管理者 (
roles/developerconnect.admin): リポジトリ接続の作成と管理に必要です。 - プロジェクト IAM 管理者 (
roles/resourcemanager.projectIamAdmin): サービス アカウントに必要なロールを付与するために必要です。
フリート パッケージ サービス アカウントのロール
- Config Delivery リソース バンドル パブリッシャー (
roles/configdelivery.resourceBundlePublisher): サービス アカウントでリソース バンドルとリリースを作成して管理できます。 - Cloud Build 接続ユーザー (
roles/cloudbuild.connectionUser): サービス アカウントで Cloud Build リポジトリ接続を使用できます。 - Logging ログ書き込み (
roles/logging.logWriter): サービス アカウントでビルドログを書き込むことができます。 - Artifact Registry 書き込み (
roles/artifactregistry.writer): サービス アカウントでバージョン管理されたパッケージ バンドルを Artifact Registry に push できます。 - Developer Connect 接続ユーザー (
roles/developerconnect.connectionUser): サービス アカウントで Developer Connect 接続を使用できます。
GDC 上の VM ランタイムのクラスタ内 RBAC ロール
GDC 上の VM ランタイムは、ロールベース アクセス制御(RBAC)を使用して、クラスタ内のマネージド リソースに対する権限を設定および適用します。権限は、Identity and Access Management からローカル Kubernetes RBAC にマッピングされ、フリート メンバーシップを通じて管理されます。
GDC 上の VM ランタイムには、事前構成済みの ClusterRole が 4 つ用意されています。これらのロールについて説明します。
kubevm.admin: VM 関連のすべてのリソースに対する完全なアクセス権を付与します。kubevm.edit: VM 関連のすべてのリソースに対する読み取り / 書き込みアクセス権を付与します。kubevm.view: VM 関連のすべてのリソースに対する読み取りアクセス権を付与します。kubevm.cluster.view: クラスタ全体のリソースに対する読み取りアクセス権を付与します。
これらのロールは、次の Kubernetes のデフォルト ロールに集約されます。
kubevm.adminはadminにマッピングされます。kubevm.editはeditにマッピングされます。kubevm.viewはviewにマッピングされます。
デフォルトの edit ロールを持つユーザーには、kubevm.edit 権限が自動的に付与されます。