必要な権限
このページでは、VPC ネットワーク上に Zilliz BYOC データプレーンを展開中に必要な IAM ポリシーを一覧表示します。
Zilliz BYOC は現在、一般提供されています。アクセスおよび実装の詳細については、Zilliz Cloud 営業担当にお問い合わせください。
ストレージサービスアカウント
Zilliz Cloud がサービスアカウントを想定してバケットにアクセスできるように、Cloud Storage バケットとストレージサービスアカウントを作成する必要があります。
以下の表は、ストレージサービスアカウントに割り当てるべきロールを一覧表示します。
ロール | 説明 | 条件 |
|---|---|---|
オブジェクトのリスト表示、作成、表示、削除を含む、オブジェクトの完全制御を許可します。 | 対象のバケット名 | |
IAM ポリシーを除く、バケットとそのメタデータを表示する権限を付与します。 | 対象のバケット名 |
GKE サービスアカウント
Zilliz Cloud がサービスアカウントを想定して GKE クラスターを管理できるように、GKE サービスアカウントを作成する必要があります。
以下の表は、GKE サービスアカウントに割り当てるべきロールを一覧表示します。
ロール | 説明 | 条件 |
|---|---|---|
ログ記録や監視などの標準機能をサポートするために GKE ノードが必要とする最小限の権限セット。 | -- |
クロスアカウントサービスアカウント
Zilliz Cloud がサービスアカウントを想定してネットワークリソースを管理できるように、クロスアカウントサービスアカウントを作成する必要があります。
以下の表は、クロスアカウントサービスアカウントに割り当てるべきロールを一覧表示します。
ロール | 説明 | 条件 |
|---|---|---|
IAM ポリシーを除く、バケットとそのメタデータを表示する権限を付与します。 | 対象のバケット名 | |
クラスターとその Kubernetes API オブジェクトの完全管理へのアクセスを提供します。 | -- | |
以下の権限をバインドします: | 作成する GKE クラスター名 | |
以下の権限をバインドします: | ||
サービスアカウントとして操作を実行します。 | -- |