Google Distributed Cloud (GDC) Air-Gapped bietet Identity and Access Management (IAM) für detaillierten Zugriff auf bestimmte Distributed Cloud-Ressourcen und verhindert unerwünschten Zugriff auf andere Ressourcen. IAM basiert auf dem Sicherheitsprinzip der geringsten Berechtigung und steuert mithilfe von IAM-Rollen und -Berechtigungen, wer auf bestimmte Ressourcen zugreifen kann.
Eine Rolle ist eine Sammlung bestimmter Berechtigungen, die bestimmten Aktionen für Ressourcen zugeordnet und einzelnen Subjekten wie Nutzern, Nutzergruppen oder Dienstkonten zugewiesen werden. Daher benötigen Sie die entsprechenden IAM-Rollen und -Berechtigungen, um Monitoring- und Logging-Dienste in Distributed Cloud zu verwenden.
IAM in Distributed Cloud bietet die folgenden Zugriffsebenen für Berechtigungen:
- Rollen auf Organisationsebene: Weisen Sie einem Subjekt Berechtigungen auf Organisationsebene zu, um benutzerdefinierte Ressourcen in allen Projektnamespaces des globalen API-Servers bereitzustellen und Dienste in allen Projekten Ihrer gesamten Organisation zu aktivieren.
- Rollen auf Projektebene: Weisen Sie einem Subjekt Berechtigungen auf Projektebene zu, um benutzerdefinierte Ressourcen im Projekt-Namespace des globalen API-Servers bereitzustellen und Dienste nur in Ihrem Projekt-Namespace zu aktivieren.
Wenn Sie nicht auf einen Überwachungs- oder Protokollierungsdienst zugreifen oder ihn nicht verwenden können, wenden Sie sich an Ihren Administrator, damit er Ihnen die erforderlichen Rollen zuweist. Fordern Sie die entsprechenden Berechtigungen für ein bestimmtes Projekt von Ihrem Projekt-IAM-Administrator an. Wenn Sie Berechtigungen auf Organisationsebene benötigen, wenden Sie sich stattdessen an Ihren IAM-Administrator der Organisation.
Auf dieser Seite werden alle Rollen und die entsprechenden Berechtigungen für die Verwendung von Monitoring- und Logging-Diensten beschrieben.
Vordefinierte Rollen auf Organisationsebene
Bitten Sie Ihren IAM-Administrator der Organisation um die entsprechenden Berechtigungen, um Logging und Monitoring in einer Organisation einzurichten und den Lebenszyklus eines Projekts zu verwalten, in dem Observability-Dienste verwendet werden.
Wenn Sie Teammitgliedern organisationsweiten Ressourcenzugriff gewähren möchten, weisen Sie Rollen zu, indem Sie Rollenbindungen auf dem globalen API-Server mit der zugehörigen kubeconfig-Datei erstellen. Informationen zum Zuweisen von Berechtigungen oder zum Erhalten von Rollenzugriff auf Ressourcen auf Organisationsebene finden Sie unter Zugriff erteilen und entziehen.
Ressourcen beobachten
Die folgende Tabelle enthält Details zu den Berechtigungen, die jeder vordefinierten Rolle für die Überwachung von Ressourcen zugewiesen sind:
| Rollenname | Name der Kubernetes-Ressource | Berechtigungsbeschreibung |
|---|---|---|
| Dashboard PA Creator | dashboard-pa-creator |
Erstellen Sie benutzerdefinierte Dashboard-Ressourcen. |
| Dashboard-PA-Editor | dashboard-pa-editor |
Dashboard-Benutzerressourcen bearbeiten oder ändern. |
| Dashboard PA Viewer | dashboard-pa-viewer |
Benutzerdefinierte Dashboard-Ressourcen ansehen |
| MonitoringRule PA Creator | monitoringrule-pa-creator |
Erstellen Sie benutzerdefinierte MonitoringRule-Ressourcen. |
| MonitoringRule PA Editor | monitoringrule-pa-editor |
MonitoringRule-Benutzerressourcen bearbeiten oder ändern. |
| MonitoringRule PA Viewer | monitoringrule-pa-viewer |
Benutzerdefinierte MonitoringRule-Ressourcen ansehen |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
Erstellen Sie benutzerdefinierte MonitoringTarget-Ressourcen. |
| Bearbeiter für MonitoringTarget PA | monitoringtarget-pa-editor |
MonitoringTarget-Benutzerressourcen bearbeiten oder ändern. |
| MonitoringTarget PA Viewer | monitoringtarget-pa-viewer |
Benutzerdefinierte MonitoringTarget-Ressourcen ansehen |
| ObservabilityPipeline PA Creator | observabilitypipeline-pa-creator |
Erstellen Sie benutzerdefinierte ObservabilityPipeline-Ressourcen. |
| ObservabilityPipeline PA Editor | observabilitypipeline-pa-editor |
ObservabilityPipeline-Benutzerressourcen bearbeiten oder ändern. |
| ObservabilityPipeline PA Viewer | observabilitypipeline-pa-viewer |
Benutzerdefinierte ObservabilityPipeline-Ressourcen ansehen |
| Organisations-Grafana-Betrachter | organization-grafana-viewer |
Organisationsbezogene Observability-Daten in Dashboards der Grafana-Monitoring-Instanz visualisieren |
Logging-Ressourcen
Die folgende Tabelle enthält Details zu den Berechtigungen, die jeder vordefinierten Rolle für das Protokollieren von Ressourcen zugewiesen sind:
| Rollenname | Name der Kubernetes-Ressource | Berechtigungsbeschreibung |
|---|---|---|
| LoggingRule PA Creator | loggingrule-pa-creator |
Erstellen Sie benutzerdefinierte LoggingRule-Ressourcen. |
| LoggingRule PA Editor | loggingrule-pa-editor |
LoggingRule-Benutzerressourcen bearbeiten oder ändern. |
| LoggingRule PA Viewer | loggingrule-pa-viewer |
Benutzerdefinierte LoggingRule-Ressourcen ansehen |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
Erstellen Sie benutzerdefinierte LoggingTarget-Ressourcen. |
| LoggingTarget PA Editor | loggingtarget-pa-editor |
LoggingTarget-Benutzerressourcen bearbeiten oder ändern. |
| LoggingTarget PA Viewer | loggingtarget-pa-viewer |
Benutzerdefinierte LoggingTarget-Ressourcen ansehen |
Vordefinierte Rollen auf Projektebene
Fordern Sie die entsprechenden Berechtigungen von Ihrem Projekt-IAM-Administrator an, um Logging- und Monitoring-Dienste in einem Projekt zu verwenden. Alle Rollen müssen an den Projektnamespace gebunden sein, in dem Sie den Dienst verwenden.
Wenn Sie Teammitgliedern projektweiten Ressourcenzugriff gewähren möchten, weisen Sie Rollen zu, indem Sie Rollenbindungen auf dem globalen API-Server mit der zugehörigen kubeconfig-Datei erstellen. Informationen zum Erteilen von Berechtigungen oder zum Erhalten von Rollenzugriff auf Ressourcen auf Projektebene finden Sie unter Zugriff erteilen und entziehen.
Ressourcen beobachten
Die folgende Tabelle enthält Details zu den Berechtigungen, die jeder vordefinierten Rolle für die Überwachung von Ressourcen zugewiesen sind:
| Rollenname | Name der Kubernetes-Ressource | Berechtigungsbeschreibung |
|---|---|---|
| ConfigMap Creator | configmap-creator |
Erstellen Sie ConfigMap-Objekte im Projekt-Namespace. |
| Dashboard-Editor | dashboard-editor |
Bearbeiten oder ändern Sie benutzerdefinierte Dashboard-Ressourcen im Projekt-Namespace. |
| Dashboard-Betrachter | dashboard-viewer |
Sehen Sie sich die benutzerdefinierten Ressourcen Dashboard im Projekt-Namespace an. |
| MonitoringRule Editor | monitoringrule-editor |
Bearbeiten oder ändern Sie benutzerdefinierte MonitoringRule-Ressourcen im Projekt-Namespace. |
| MonitoringRule Viewer | monitoringrule-viewer |
Sehen Sie sich die benutzerdefinierten Ressourcen MonitoringRule im Projekt-Namespace an. |
| MonitoringTarget Editor | monitoringtarget-editor |
Bearbeiten oder ändern Sie benutzerdefinierte MonitoringTarget-Ressourcen im Projekt-Namespace. |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Sehen Sie sich die benutzerdefinierten Ressourcen MonitoringTarget im Projekt-Namespace an. |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
Bearbeiten oder ändern Sie benutzerdefinierte ObservabilityPipeline-Ressourcen im Projekt-Namespace. |
| ObservabilityPipeline-Betrachter | observabilitypipeline-viewer |
Sehen Sie sich die benutzerdefinierten Ressourcen ObservabilityPipeline im Projekt-Namespace an. |
| Project Cortex Alertmanager Editor | project-cortex-alertmanager-editor |
Bearbeiten Sie die Cortex Alertmanager-Instanz im Projekt-Namespace. |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
Greifen Sie im Projekt-Namespace auf die Cortex Alertmanager-Instanz zu. |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
Greifen Sie auf die Cortex Prometheus-Instanz im Projekt-Namespace zu. |
| Grafana-Betrachter für Projekte | project-grafana-viewer |
Projektbezogene Observability-Daten in Dashboards der Grafana-Monitoring-Instanz visualisieren |
Logging-Ressourcen
Die folgende Tabelle enthält Details zu den Berechtigungen, die jeder vordefinierten Rolle für das Protokollieren von Ressourcen zugewiesen sind:
| Rollenname | Name der Kubernetes-Ressource | Berechtigungsbeschreibung |
|---|---|---|
| Audit Logs Platform Restore Bucket Creator | audit-logs-platform-restore-bucket-creator |
Erstellen Sie Sicherungs-Buckets, um die Audit-Logs der Plattform wiederherzustellen. |
| Betrachter von Audit-Logs-Plattform-Buckets | audit-logs-platform-bucket-viewer |
Sicherungs-Buckets von Plattform-Audit-Logs ansehen |
| LoggingRule Creator | loggingrule-creator |
Erstellen Sie benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace. |
| LoggingRule Editor | loggingrule-editor |
Bearbeiten oder ändern Sie benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace. |
| LoggingRule Viewer | loggingrule-viewer |
Sehen Sie sich die benutzerdefinierten Ressourcen LoggingRule im Projekt-Namespace an. |
| LoggingTarget Creator | loggingtarget-creator |
Erstellen Sie benutzerdefinierte LoggingTarget-Ressourcen im Projekt-Namespace. |
| LoggingTarget-Editor | loggingtarget-editor |
Bearbeiten oder ändern Sie benutzerdefinierte LoggingTarget-Ressourcen im Projekt-Namespace. |
| LoggingTarget Viewer | loggingtarget-viewer |
Sehen Sie sich die benutzerdefinierten Ressourcen LoggingTarget im Projekt-Namespace an. |
| Log Query API Querier | log-query-api-querier |
Greifen Sie auf die Log Query API zu, um Logs abzufragen. |
| SIEM Export Org Creator | siemexport-org-creator |
Erstellen Sie benutzerdefinierte SIEMOrgForwarder-Ressourcen im Projekt-Namespace. |
| Organisationsbearbeiter für SIEM-Exporte | siemexport-org-editor |
Bearbeiten oder ändern Sie benutzerdefinierte SIEMOrgForwarder-Ressourcen im Projekt-Namespace. |
| SIEM Export Org Viewer | siemexport-org-viewer |
Sehen Sie sich die benutzerdefinierten Ressourcen SIEMOrgForwarder im Projekt-Namespace an. |