שליטה בגישה ל-Cloud Service Mesh במסוף Google Cloud
הגישה ל-Cloud Service Mesh במסוף Google Cloud נשלטת על ידי ניהול זהויות והרשאות גישה (IAM). כדי לקבל גישה, בעל הפרויקט צריך להקצות למשתמשים את תפקיד העורך או הצופה בפרויקט, או את התפקידים המגבילים יותר שמתוארים בטבלאות הבאות. במאמר הענקה, שינוי וביטול גישה למשאבים מוסבר איך נותנים תפקידים למשתמשים.
מספר מינימלי של תפקידים עם הרשאת קריאה בלבד
למשתמשים עם התפקידים הבאים יש גישה לדפים של Cloud Service Mesh למטרות מעקב בלבד. משתמשים עם התפקידים האלה לא יכולים ליצור או לשנות אובייקטים ברמת השירות (SLO) או לבצע שינויים בתשתית GKE.
| שם תפקיד IAM | שם התפקיד | תיאור |
|---|---|---|
| כלי לצפייה בניטור | roles/monitoring.viewer | התפקיד הזה מאפשר גישה לקריאה בלבד כדי לקבל ולרשום מידע על כל נתוני המעקב וההגדרות. |
| Kubernetes Engine Viewer | roles/container.viewer | הרשאת קריאה בלבד במשאבי GKE. התפקיד הזה לא נדרש עבור אשכולות GKE ב- Google Cloud. |
| מציג היומנים | roles/logging.viewer | ההרשאה מאפשרת גישה לקריאה בלבד לדף 'אבחון' בתצוגת פרטי השירות. אם אין צורך בגישה לדף הזה, אפשר להשמיט את ההרשאה הזו. |
| תצוגה של שימוש בשירות | roles/serviceusage.serviceUsageViewer | אפשרות לבדוק את מצבי השירות והפעולות בפרויקט של צרכן. |
תפקידי כתיבה מינימליים
משתמשים עם התפקידים הבאים יכולים ליצור או לשנות יעדי זמינות בדפים של Cloud Service Mesh וליצור או לשנות מדיניות התראות על סמך יעדי הזמינות. משתמשים עם התפקידים האלה לא יכולים לבצע שינויים בתשתית GKE.
| שם תפקיד IAM | שם התפקיד | תיאור |
|---|---|---|
| עורך מעקב | roles/monitoring.editor | התפקיד הזה מאפשר גישה מלאה למידע על כל נתוני המעקב וההגדרות. |
| Kubernetes Engine Editor | roles/container.editor | מעניק הרשאות כתיבה שנדרשות לניהול משאבי GKE. |
| הכלי לעריכת יומנים | roles/logging.editor | ההרשאה הזו מאפשרת גישת כתיבה שנדרשת לדף 'אבחון' בתצוגת הפרטים של השירות. |
מקרים מיוחדים
התפקידים הבאים נדרשים להגדרות מסוימות של רשתות.
| שם תפקיד IAM | שם התפקיד | תיאור |
|---|---|---|
| בעל הרשאת צפייה ב-GKE Hub | roles/gkehub.viewer | מספק גישת צפייה לאשכולות מחוץ ל- Google Cloud במסוף Google Cloud . התפקיד הזה נדרש כדי שהמשתמשים יוכלו לראות את אשכולותGoogle Cloud שלא נמצאים ברשת. בנוסף, תצטרכו להעניק למשתמש את תפקיד ה-RBAC cluster-admin כדי לאפשר ללוח הבקרה לשלוח שאילתות לאשכול בשמו. |
הרשאות ותפקידים נוספים
אם התפקידים שלמעלה לא עונים על הצרכים שלכם, ב-IAM יש תפקידים נוספים והרשאות פרטניות. לדוגמה, יכול להיות שתרצו להעניק למשתמש את התפקיד 'אדמין של Kubernetes Engine' או 'אדמין אשכול של Kubernetes Engine' כדי לאפשר לו לנהל את תשתית GKE.
מידע נוסף: