Google Cloud Platform:gcloud 命令的最低 IAM 权限

【问题标题】:Google Cloud Platform: Minimal IAM permissions for gcloud commandGoogle Cloud Platform:gcloud 命令的最低 IAM 权限
【发布时间】:2019-09-24 22:10:06
【问题描述】:

我试图在官方 GCP 文档中找到与调用此命令的能力相对应的确切权限(不是角色)

gcloud container clusters resize

list 不包含这样的权限。

对于此类操作需要授予的最低权限有什么建议吗?

【问题讨论】:

    标签: google-cloud-platform google-iam


    【解决方案1】:

    gcloud container clusters resize 操作可能需要调用者拥有container.clusters.update 权限。您可以在以下预定义角色中找到此权限:

    • Kubernetes Engine 管理员 (roles/container.admin)
    • Kubernetes Engine 集群管理员 (roles/container.clusterAdmin)

    Kubernetes Engine roles。我没有列出包含此权限的其他角色,因为它们太宽泛(roles/ownerroles/editor)或不合适(roles/composer.worker)。

    基于最小权限原则,如果您想使用预定义角色保持简单,您的用户只需要被授予roles/container.clusterAdmin,因为roles/container.clusterAdmin 角色包含roles/container.admin 权限的子集。

    此外,如果您想要/需要更多限制,您还可以创建一个 custom role 并仅使用您需要的权限。

    【讨论】:

    • 是的,这就是我想要的(创建自定义角色),但我无法分配(只是)此权限,因为它不存在! (或者它存在于误导性上下文中,update
    • @pkaramol - 使用搜索过滤器很难在控制台中找到某些权限。使用 CLI 创建自定义角色。 gcloud iam roles create。要查看其他角色必须获得哪些权限才能获得准确的拼写,请使用gcloud iam roles describe
    • 确实,resize 权限不存在。我相信唯一的方法是授予container.clusters.update 权限,这(遗憾的是在你的情况下)还允许更新其他参数。理想情况下,应该有一个 IAM 权限,只允许在节点池上调用 setSize 方法(这就是 gcloud container clusters resize 所做的),但不幸的是它还不存在。
    猜你喜欢
    • 2017-06-09
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-12-24
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-10-07
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode