שליטה בגישה ל-Cloud Service Mesh במסוף Google Cloud

הגישה ל-Cloud Service Mesh במסוף Google Cloud נשלטת על ידי ניהול זהויות והרשאות גישה (IAM). כדי לקבל גישה, בעל הפרויקט צריך להקצות למשתמשים את התפקיד Project Editor או Project Viewer, או את התפקידים המגבילים יותר שמתוארים בטבלאות הבאות. במאמר הענקה, שינוי וביטול גישה למשאבים מוסבר איך נותנים תפקידים למשתמשים.

מספר מינימלי של תפקידים עם הרשאת קריאה בלבד

למשתמשים עם התפקידים הבאים יש גישה לדפים של Cloud Service Mesh למטרות מעקב בלבד. משתמשים עם התפקידים האלה לא יכולים ליצור או לשנות אובייקטים ברמת השירות (SLO) או לבצע שינויים בתשתית GKE.

שם תפקיד IAM שם התפקיד תיאור
כלי לצפייה בניטור roles/monitoring.viewer התפקיד הזה מאפשר גישה לקריאה בלבד כדי לקבל ולרשום מידע על כל נתוני המעקב וההגדרות.
Kubernetes Engine Viewer roles/container.viewer הרשאת קריאה בלבד במשאבי GKE. התפקיד הזה לא נדרש עבור אשכולות GKE ב- Google Cloud.
מציג היומנים roles/logging.viewer ההרשאה מספקת גישה לקריאה בלבד לדף 'אבחון' בתצוגת פרטי השירות. אם אין צורך בגישה לדף הזה, אפשר להשמיט את ההרשאה הזו.
תצוגה של שימוש בשירות roles/serviceusage.serviceUsageViewer אפשרות לבדוק את מצבי השירות והפעולות בפרויקט של צרכן.

תפקידי כתיבה מינימליים

משתמשים עם התפקידים הבאים יכולים ליצור או לשנות יעדי זמינות בדפים של Cloud Service Mesh וליצור או לשנות מדיניות התראות על סמך יעדי הזמינות. משתמשים עם התפקידים האלה לא יכולים לבצע שינויים בתשתית GKE.

שם תפקיד IAM שם התפקיד תיאור
עורך/ת מעקב roles/monitoring.editor התפקיד הזה מאפשר גישה מלאה למידע על כל נתוני המעקב וההגדרות.
Kubernetes Engine Editor roles/container.editor מעניק הרשאות כתיבה שנדרשות לניהול משאבי GKE.
כלי הדוחות roles/logging.editor ההרשאה הזו מאפשרת גישת כתיבה שנדרשת לדף 'אבחון' בתצוגת הפרטים של השירות.

מקרים מיוחדים

התפקידים הבאים נדרשים להגדרות מסוימות של רשתות Mesh.

שם תפקיד IAM שם התפקיד תיאור
GKE GKE Fleet Viewer roles/gkehub.viewer מספק גישת צפייה לאשכולות מחוץ ל- Google Cloud במסוף Google Cloud . התפקיד הזה נדרש כדי שהמשתמשים יוכלו לראות את אשכולותGoogle Cloud שלא נמצאים ברשת. בנוסף, תצטרכו להעניק למשתמש את תפקיד ה-RBAC cluster-admin כדי לאפשר ללוח הבקרה לשלוח שאילתות לאשכול בשמו.

הרשאות ותפקידים נוספים

אם התפקידים שלמעלה לא עונים על הצרכים שלכם, ב-IAM יש תפקידים נוספים והרשאות פרטניות. לדוגמה, יכול להיות שתרצו לתת למשתמש את התפקיד 'אדמין של Kubernetes Engine' או 'אדמין אשכול של Kubernetes Engine' כדי לאפשר לו לנהל את התשתית של GKE.

מידע נוסף:

המאמרים הבאים