3.4. Red Hat 管理的 Google Cloud 资源
红帽负责创建和管理以下 IAM Google Cloud Platform (GCP) 资源。
IAM 服务帐户和角色 和 IAM 组 以及角色主题仅适用于使用服务帐户身份验证类型创建的集群。
3.4.1. IAM 服务帐户和角色
在控制客户提供的 GCP 帐户后,osd-managed-admin IAM 服务帐户会立即创建。这是将执行 OpenShift Dedicated 集群安装的用户。
以下角色附加到服务帐户:
| 角色 | 控制台角色名称 | 描述 |
|---|---|---|
| Compute Admin |
| 提供对所有 Compute Engine 资源的完整控制。 |
| DNS Administrator |
| 提供对所有云 DNS 资源的读写访问。 |
| Security Admin |
| 安全管理员角色,具有获取和设置任何 IAM 策略的权限。 |
| Storage Admin |
| 赋予对象和存储桶的完全控制。 当应用到单个存储桶时,控制仅适用于存储桶中指定的存储桶和对象。 |
| Service Account Admin |
| 创建和管理服务帐户。 |
| Service Account Key Admin |
| 创建和管理(及轮转)服务帐户密钥。 |
| Service Account User |
| 以服务帐户身份运行操作。 |
| Role Administrator |
| 提供对项目中的所有自定义角色的访问权限。 |
3.4.2. IAM 组和角色
sd-sre-platform-gcp-access Google 组被授予 GCP 项目的访问权限,以允许 Red Hat Site Reliability Engineering (SRE) 访问控制台以实现紧急故障排除目的。
-
有关使用 Workload Identity Federation (WIF)验证类型时创建的集群,请参阅
sd-sre-platform-gcp-access组中的角色的信息,请参阅 managed-cluster-config。 - 有关使用 Workload Identity Federation 身份验证类型创建集群的详情,请参考 附加资源。
以下角色附加到组中:
| 角色 | 控制台角色名称 | 描述 |
|---|---|---|
| Compute Admin |
| 提供对所有 Compute Engine 资源的完整控制。 |
| Editor |
| 提供所有查看权限,以及修改状态的操作的权限。 |
| 机构策略查看器 |
| 提供查看资源的机构策略的访问权限。 |
| 项目 IAM Admin |
| 提供管理项目的 IAM 策略的权限。 |
| 配额管理员 |
| 提供管理服务配额的访问权限。 |
| Role Administrator |
| 提供对项目中的所有自定义角色的访问权限。 |
| Service Account Admin |
| 创建和管理服务帐户。 |
| Service Usage Admin |
| 能够为消费者项目启用、禁用和检查服务状态、检查操作以及消耗配额和计费。 |
| 技术支持编辑器 |
| 提供对技术支持问题单的完整读写访问。 |
