3.4. Red Hat 管理 Google Cloud リソース
Red Hat は、以下の IAM Google Cloud Platform (GCP) リソースを作成し、管理します。
3.4.1. IAM サービスアカウントおよびロール
osd-managed-admin IAM サービスアカウントは、お客様が指定する GCP アカウントを制御した直後に作成されます。これは、OpenShift Dedicated クラスターのインストールを実行するユーザーです。
以下のロールがサービスアカウントに割り当てられます。
表3.3 osd-managed-admin の IAM ロール
| ロール | コンソールロール名 | 説明 |
|---|---|---|
| Compute Admin |
| すべての Compute Engine リソースを完全に制御します。 |
| DNS Administrator |
| すべての Cloud DNS リソースに読み取り/書き込みアクセスを提供します。 |
| Security Admin |
| IAM ポリシーを取得し、設定するためのパーミッションを持つセキュリティー管理者ロール。 |
| Storage Admin |
| オブジェクトおよびバケットを完全に制御します。 個別の バケット に適用される場合、制御はバケット内の指定されたバケットおよびオブジェクトにのみ適用されます。 |
| Service Account Admin |
| サービスアカウントを作成および管理します。 |
| Service Account Key Admin |
| サービスアカウントキーを作成して管理 (ローテーション) します。 |
| Service Account User |
| サービスアカウントとして操作を実行します。 |
| ロール管理者 |
| プロジェクトのすべてのカスタムロールへのアクセスを提供します。 |
3.4.2. IAM グループおよびロール
sd-sre-platform-gcp-access Google グループに、緊急トラブルシューティングの目的で Red Hat のサイトリライアビリティーエンジニアリング (SRE) のコンソールへのアクセスが許可されるため、GCP プロジェクトへのアクセスが付与されます。
以下のロールがグループに割り当てられます。
表3.4 sd-sre-platform-gcp-access の IAM ロール
| ロール | コンソールロール名 | 説明 |
|---|---|---|
| Compute Admin |
| すべての Compute Engine リソースを完全に制御します。 |
| エディター |
| すべてのビューアーパーミッション、および状態を変更するアクションのパーミッションを提供します。 |
| 組織ポリシービューアー |
| リソースに対する組織ポリシーの表示アクセスを提供します。 |
| プロジェクト IAM 管理者 |
| プロジェクトの IAM ポリシーを管理するためのパーミッションを提供します。 |
| クォータ管理者 |
| サービスクォータを管理するアクセスを提供します。 |
| ロール管理者 |
| プロジェクトのすべてのカスタムロールへのアクセスを提供します。 |
| Service Account Admin |
| サービスアカウントを作成および管理します。 |
| サービス使用状況の管理 |
| サービス状態の有効化、無効化、および検査を行い、操作を検査し、コンシューマープロジェクトのクォータおよび請求書を使用する機能。 |
| テクニカルサポートエディター |
| テクニカルサポートケースへの完全読み取り/書き込みアクセスを提供します。 |
