Google Distributed Cloud (GDC) air-gapped ofrece gestión de identidades y accesos (IAM) para un acceso granular a recursos específicos de Distributed Cloud e impide el acceso no deseado a otros recursos. IAM se basa en el principio de seguridad del privilegio mínimo y controla quién puede acceder a determinados recursos mediante roles y permisos de IAM.
Un rol es un conjunto de permisos específicos asignados a determinadas acciones en recursos y asignados a sujetos concretos, como usuarios, grupos de usuarios o cuentas de servicio. Por lo tanto, debes tener los roles y permisos de IAM adecuados para usar los servicios de monitorización y registro en Distributed Cloud.
IAM en Distributed Cloud ofrece los siguientes niveles de acceso para los permisos:
- Roles a nivel de organización: concede a un sujeto permisos a nivel de organización para desplegar recursos personalizados en todos los espacios de nombres de proyectos del servidor de la API global y habilita servicios en todos los proyectos de tu organización.
Roles a nivel de proyecto: concede a un sujeto permisos a nivel de proyecto para desplegar recursos personalizados en el espacio de nombres del proyecto del servidor de API global y habilita los servicios solo en el espacio de nombres de tu proyecto.
Si no puedes acceder a un servicio de monitorización o registro, o no puedes usarlo, ponte en contacto con tu administrador para que te conceda los roles necesarios. Solicita los permisos adecuados a tu administrador de IAM del proyecto en cuestión. Si necesitas permisos a nivel de organización, pídeselos al administrador de IAM de tu organización.
En esta página se describen todos los roles y sus respectivos permisos para usar los servicios de monitorización y registro.
Roles predefinidos a nivel de organización
Solicita los permisos adecuados al administrador de gestión de identidades y accesos de tu organización para configurar el registro y la monitorización en una organización, así como para gestionar el ciclo de vida de un proyecto que utilice servicios de observabilidad.
Para conceder a los miembros del equipo acceso a los recursos de toda la organización, asigna roles creando enlaces de roles en el servidor de la API global mediante su archivo kubeconfig. Para conceder permisos u obtener acceso a los recursos a nivel de organización, consulta Conceder y revocar acceso.
Recursos de Monitoring
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para monitorizar recursos:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| Creador de PAs de panel de control | dashboard-pa-creator |
Crea Dashboardrecursos personalizados. |
| Editor de PA de panel de control | dashboard-pa-editor |
Editar o modificar Dashboard recursos personalizados. |
| Lector de PA del panel de control | dashboard-pa-viewer |
Consulta los Dashboardrecursos personalizados. |
| Creador de PA de MonitoringRule | monitoringrule-pa-creator |
Crea MonitoringRulerecursos personalizados. |
| Editor PA de MonitoringRule | monitoringrule-pa-editor |
Editar o modificar MonitoringRule recursos personalizados. |
| Lector de PA de MonitoringRule | monitoringrule-pa-viewer |
Consulta los MonitoringRulerecursos personalizados. |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
Crea MonitoringTargetrecursos personalizados. |
| Editor PA de MonitoringTarget | monitoringtarget-pa-editor |
Editar o modificar MonitoringTarget recursos personalizados. |
| Visor de PA de MonitoringTarget | monitoringtarget-pa-viewer |
Consulta los MonitoringTargetrecursos personalizados. |
| Creador de PA de ObservabilityPipeline | observabilitypipeline-pa-creator |
Crea ObservabilityPipelinerecursos personalizados. |
| Editor de PA de ObservabilityPipeline | observabilitypipeline-pa-editor |
Editar o modificar ObservabilityPipeline recursos personalizados. |
| Lector de ObservabilityPipeline PA | observabilitypipeline-pa-viewer |
Consulta los ObservabilityPipelinerecursos personalizados. |
| Lector de Grafana de la organización | organization-grafana-viewer |
Visualiza los datos de observabilidad relacionados con la organización en los paneles de control de la instancia de monitorización de Grafana. |
Recursos de registro
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| LoggingRule PA Creator | loggingrule-pa-creator |
Crea LoggingRulerecursos personalizados. |
| Editor de PA de LoggingRule | loggingrule-pa-editor |
Editar o modificar LoggingRule recursos personalizados. |
| Visualizador de reglas de registro de PA | loggingrule-pa-viewer |
Consulta los LoggingRulerecursos personalizados. |
| Creador de PA de LoggingTarget | loggingtarget-pa-creator |
Crea LoggingTargetrecursos personalizados. |
| Editor PA de LoggingTarget | loggingtarget-pa-editor |
Editar o modificar LoggingTarget recursos personalizados. |
| LoggingTarget PA Viewer | loggingtarget-pa-viewer |
Consulta los LoggingTargetrecursos personalizados. |
Roles predefinidos a nivel de proyecto
Solicita los permisos adecuados al administrador de gestión de identidades y accesos de tu proyecto para usar los servicios de registro y monitorización en un proyecto. Todos los roles deben estar vinculados al espacio de nombres del proyecto en el que estés usando el servicio.
Para conceder a los miembros del equipo acceso a los recursos de todo el proyecto, asigna roles creando enlaces de roles en el servidor de la API global mediante su archivo kubeconfig. Para conceder permisos o recibir acceso a los recursos a nivel de proyecto, consulta Conceder y revocar acceso.
Recursos de Monitoring
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para monitorizar recursos:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| Creador de ConfigMap | configmap-creator |
Crea objetos ConfigMap en el espacio de nombres del proyecto. |
| Editor de paneles de control | dashboard-editor |
Editar o modificar recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
| Lector del panel de control | dashboard-viewer |
Ver los recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
| Editor de MonitoringRule | monitoringrule-editor |
Editar o modificar recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
| Lector de MonitoringRule | monitoringrule-viewer |
Ver los recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
| MonitoringTarget Editor | monitoringtarget-editor |
Editar o modificar recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
| Lector de MonitoringTarget | monitoringtarget-viewer |
Ver los recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
| Editor de ObservabilityPipeline | observabilitypipeline-editor |
Editar o modificar recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
| Lector de ObservabilityPipeline | observabilitypipeline-viewer |
Ver los recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
| Editor de Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. |
| Lector de Alertmanager de Project Cortex | project-cortex-alertmanager-viewer |
Accede a la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. |
| Visor de Prometheus de Project Cortex | project-cortex-prometheus-viewer |
Accede a la instancia de Cortex Prometheus en el espacio de nombres del proyecto. |
| Lector de Grafana de proyectos | project-grafana-viewer |
Visualiza los datos de observabilidad relacionados con el proyecto en los paneles de control de la instancia de monitorización de Grafana. |
Recursos de registro
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| Audit Logs Platform Restore Bucket Creator | audit-logs-platform-restore-bucket-creator |
Crea segmentos de copia de seguridad para restaurar los registros de auditoría de la plataforma. |
| Lector de segmentos de plataforma de registros de auditoría | audit-logs-platform-bucket-viewer |
Ver las copias de seguridad de los registros de auditoría de la plataforma. |
| LoggingRule Creator | loggingrule-creator |
Crea recursos personalizados LoggingRule en el espacio de nombres del proyecto. |
| Editor de LoggingRule | loggingrule-editor |
Editar o modificar recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
| Visualizador de LoggingRule | loggingrule-viewer |
Ver los recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
| Creador de LoggingTarget | loggingtarget-creator |
Crea recursos personalizados LoggingTarget en el espacio de nombres del proyecto. |
| Editor de LoggingTarget | loggingtarget-editor |
Editar o modificar recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
| Lector de LoggingTarget | loggingtarget-viewer |
Ver los recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
| Consultador de la API Log Query | log-query-api-querier |
Accede a la API Log Query para consultar registros. |
| Creador de organizaciones de exportación de SIEM | siemexport-org-creator |
Crea recursos personalizados SIEMOrgForwarder en el espacio de nombres del proyecto. |
| Editor de organizaciones de exportación de SIEM | siemexport-org-editor |
Editar o modificar recursos personalizados de SIEMOrgForwarder en el espacio de nombres del proyecto. |
| Lector de organizaciones de exportación de SIEM | siemexport-org-viewer |
Ver los recursos personalizados de SIEMOrgForwarder en el espacio de nombres del proyecto. |