在 Google Cloud 控制台中控管 Cloud Service Mesh 的存取權
在 Google Cloud 控制台中,Cloud Service Mesh 的存取權是由身分與存取權管理 (IAM) 控管。如要取得存取權,專案擁有者必須授予使用者專案編輯者或檢視者角色,或是下表所述的限制性角色。如要瞭解如何授予使用者角色,請參閱「授予、變更及撤銷資源的存取權」一文。
最低唯讀角色
具備下列角色的使用者只能存取 Cloud Service Mesh 頁面,以進行監控。具備這些角色的使用者無法建立或修改服務層級目標 (SLO),也無法變更 GKE 基礎架構。
| IAM 角色名稱 | 職稱 | 說明 |
|---|---|---|
| 監控檢視者 | roles/monitoring.viewer | 提供唯讀存取權,以取得和列出所有監控資料與設定的相關資訊。 |
| Kubernetes Engine 檢視者 | roles/container.viewer | 提供 GKE 資源的唯讀存取權。在 Google Cloud上,GKE 叢集不需要這個角色。 |
| 記錄檢視器 | roles/logging.viewer | 提供服務詳細資料檢視畫面中「診斷」頁面的唯讀存取權。如果不需要存取這個頁面,可以省略這項權限。 |
最低寫入角色
具備下列角色的使用者可以在 Cloud Service Mesh 頁面中建立或修改 SLO,並根據 SLO 建立或修改警告政策。具有這些角色的使用者無法變更 GKE 基礎架構。
| IAM 角色名稱 | 職稱 | 說明 |
|---|---|---|
| Monitoring 編輯者 | roles/monitoring.editor | 提供所有監控資料和設定相關資訊的完整存取權。 |
| Kubernetes Engine 編輯者 | roles/container.editor | 提供管理 GKE 資源所需的寫入權限。 |
| 記錄編輯者 | roles/logging.editor | 提供服務詳細資料檢視畫面中「診斷」頁面所需的寫入權限。 |
特殊情況
特定網格設定需要下列角色。
| IAM 角色名稱 | 職稱 | 說明 |
|---|---|---|
| GKE 機群檢視者 | roles/gkehub.viewer | 提供在 Google Cloud 控制台中查看叢集的權限。 Google Cloud 使用者必須具備這個角色,才能查看網格中的叢集外Google Cloud 。此外,您也需要授予使用者叢集管理員 RBAC 角色,允許資訊主頁代表他們查詢叢集。 |
其他角色和權限
如果上述角色不符合需求,IAM 也提供其他角色和精細權限。舉例來說,您可能會想授予 Kubernetes Engine 管理員角色或 Kubernetes Engine 叢集管理員角色,讓使用者管理 GKE 基礎架構。
詳情請參閱下列文章: