Google Distributed Cloud (GDC) air-gapped ofrece Identity and Access Management (IAM) para brindar acceso detallado a recursos específicos de Distributed Cloud y evitar el acceso no deseado a otros recursos. IAM opera según el principio de seguridad de privilegio mínimo y controla quién puede acceder a recursos determinados con roles y permisos de IAM.
Un rol es una colección de permisos específicos asignados a ciertas acciones en recursos y asignados a sujetos individuales, como usuarios, grupos de usuarios o cuentas de servicio. Por lo tanto, debes tener los roles y permisos de IAM adecuados para usar los servicios de supervisión y registro en Distributed Cloud.
IAM en Distributed Cloud ofrece los siguientes niveles de acceso para los permisos:
- Roles a nivel de la organización: Otorga a un sujeto permisos a nivel de la organización para implementar recursos personalizados en todos los espacios de nombres del proyecto del servidor de la API global y habilitar servicios en todos los proyectos de toda tu organización.
Roles a nivel del proyecto: Otorga a un sujeto permisos a nivel del proyecto para implementar recursos personalizados en el espacio de nombres del proyecto del servidor de la API global y habilitar servicios solo en el espacio de nombres de tu proyecto.
Si no puedes acceder a un servicio de supervisión o registro, o usarlo, comunícate con el administrador para que te otorgue los roles necesarios. Solicita los permisos correspondientes al administrador de IAM del proyecto para un proyecto determinado. Si necesitas permisos a nivel de la organización, pídele ayuda al administrador de IAM de la organización.
En esta página, se describen todos los roles y sus permisos respectivos para usar los servicios de supervisión y registro.
Roles predefinidos a nivel de la organización
Solicita los permisos adecuados al administrador de IAM de tu organización para configurar el registro y la supervisión en una organización, y administrar el ciclo de vida de un proyecto que usa servicios de observabilidad.
Para otorgar a los miembros del equipo acceso a los recursos en toda la organización, asigna roles creando vinculaciones de roles en el servidor de la API global con su archivo kubeconfig. Para otorgar permisos o recibir acceso a roles para los recursos a nivel de la organización, consulta Otorga y revoca el acceso.
Supervisar recursos
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para supervisar recursos:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| Creador de PA del panel | dashboard-pa-creator |
Crea recursos personalizados de Dashboard. |
| Editor de PA del panel | dashboard-pa-editor |
Editar o modificar recursos personalizados Dashboard |
| Visualizador de PA del panel | dashboard-pa-viewer |
Visualiza los recursos personalizados de Dashboard. |
| Creador de MonitoringRule PA | monitoringrule-pa-creator |
Crea recursos personalizados de MonitoringRule. |
| Editor de MonitoringRule PA | monitoringrule-pa-editor |
Editar o modificar recursos personalizados MonitoringRule |
| Visualizador de MonitoringRule PA | monitoringrule-pa-viewer |
Visualiza los recursos personalizados de MonitoringRule. |
| Creador de PA de MonitoringTarget | monitoringtarget-pa-creator |
Crea recursos personalizados de MonitoringTarget. |
| Editor de MonitoringTarget PA | monitoringtarget-pa-editor |
Editar o modificar recursos personalizados MonitoringTarget |
| Visualizador de PA de MonitoringTarget | monitoringtarget-pa-viewer |
Visualiza los recursos personalizados de MonitoringTarget. |
| Creador de ObservabilityPipeline PA | observabilitypipeline-pa-creator |
Crea recursos personalizados de ObservabilityPipeline. |
| Editor de ObservabilityPipeline PA | observabilitypipeline-pa-editor |
Editar o modificar recursos personalizados ObservabilityPipeline |
| Visualizador de ObservabilityPipeline PA | observabilitypipeline-pa-viewer |
Visualiza los recursos personalizados de ObservabilityPipeline. |
| Visualizador de Grafana de la organización | organization-grafana-viewer |
Visualiza los datos de observabilidad relacionados con la organización en los paneles de la instancia de supervisión de Grafana. |
Recursos de registro
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| Creador de PA de LoggingRule | loggingrule-pa-creator |
Crea recursos personalizados de LoggingRule. |
| Editor de PA de LoggingRule | loggingrule-pa-editor |
Editar o modificar recursos personalizados LoggingRule |
| Visualizador de LoggingRule PA | loggingrule-pa-viewer |
Visualiza los recursos personalizados de LoggingRule. |
| Creador de PA de LoggingTarget | loggingtarget-pa-creator |
Crea recursos personalizados de LoggingTarget. |
| Editor de PA de LoggingTarget | loggingtarget-pa-editor |
Editar o modificar recursos personalizados LoggingTarget |
| Visualizador de PA de LoggingTarget | loggingtarget-pa-viewer |
Visualiza los recursos personalizados de LoggingTarget. |
Roles predefinidos a nivel del proyecto
Solicita los permisos correspondientes al administrador de IAM del proyecto para usar los servicios de registro y supervisión en un proyecto. Todos los roles deben vincularse al espacio de nombres del proyecto en el que usas el servicio.
Para otorgar a los miembros del equipo acceso a los recursos de todo el proyecto, asigna roles creando vinculaciones de roles en el servidor de la API global con su archivo kubeconfig. Para otorgar permisos o recibir acceso a roles para los recursos a nivel del proyecto, consulta Otorga y revoca el acceso.
Supervisar recursos
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para supervisar recursos:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| ConfigMap Creator | configmap-creator |
Crea objetos ConfigMap en el espacio de nombres del proyecto. |
| Editor de paneles | dashboard-editor |
Editar o modificar recursos personalizados de Dashboard en el espacio de nombres del proyecto |
| Visor de paneles | dashboard-viewer |
Visualiza los recursos personalizados Dashboard en el espacio de nombres del proyecto. |
| Editor de MonitoringRule | monitoringrule-editor |
Editar o modificar recursos personalizados de MonitoringRule en el espacio de nombres del proyecto |
| Visualizador de MonitoringRule | monitoringrule-viewer |
Visualiza los recursos personalizados MonitoringRule en el espacio de nombres del proyecto. |
| Editor de MonitoringTarget | monitoringtarget-editor |
Editar o modificar recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto |
| Visualizador de MonitoringTarget | monitoringtarget-viewer |
Visualiza los recursos personalizados MonitoringTarget en el espacio de nombres del proyecto. |
| Editor de ObservabilityPipeline | observabilitypipeline-editor |
Editar o modificar recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto |
| Visualizador de ObservabilityPipeline | observabilitypipeline-viewer |
Visualiza los recursos personalizados ObservabilityPipeline en el espacio de nombres del proyecto. |
| Editor de Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. |
| Visualizador de Alertmanager de Project Cortex | project-cortex-alertmanager-viewer |
Accede a la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. |
| Visualizador de Prometheus de Project Cortex | project-cortex-prometheus-viewer |
Accede a la instancia de Prometheus de Cortex en el espacio de nombres del proyecto. |
| Visualizador de Grafana del proyecto | project-grafana-viewer |
Visualiza los datos de observabilidad relacionados con el proyecto en los paneles de la instancia de supervisión de Grafana. |
Recursos de registro
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso |
|---|---|---|
| Creador de buckets de restablecimiento de la plataforma de registros de auditoría | audit-logs-platform-restore-bucket-creator |
Crea buckets de copias de seguridad para restablecer los registros de auditoría de la plataforma. |
| Visualizador de buckets de la plataforma de registros de auditoría | audit-logs-platform-bucket-viewer |
Visualiza los buckets de copias de seguridad de los registros de auditoría de la plataforma. |
| Creador de LoggingRule | loggingrule-creator |
Crea recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
| Editor de LoggingRule | loggingrule-editor |
Editar o modificar recursos personalizados de LoggingRule en el espacio de nombres del proyecto |
| Visualizador de LoggingRule | loggingrule-viewer |
Visualiza los recursos personalizados LoggingRule en el espacio de nombres del proyecto. |
| LoggingTarget Creator | loggingtarget-creator |
Crea recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
| Editor de LoggingTarget | loggingtarget-editor |
Editar o modificar recursos personalizados de LoggingTarget en el espacio de nombres del proyecto |
| Visor de LoggingTarget | loggingtarget-viewer |
Visualiza los recursos personalizados LoggingTarget en el espacio de nombres del proyecto. |
| Consultador de la API de Log Query | log-query-api-querier |
Accede a la API de Log Query para consultar registros. |
| Creador de organizaciones de exportación al SIEM | siemexport-org-creator |
Crea recursos personalizados de SIEMOrgForwarder en el espacio de nombres del proyecto. |
| Editor de la organización de exportación de SIEM | siemexport-org-editor |
Editar o modificar recursos personalizados de SIEMOrgForwarder en el espacio de nombres del proyecto |
| Visualizador de la organización de exportación de SIEM | siemexport-org-viewer |
Visualiza los recursos personalizados SIEMOrgForwarder en el espacio de nombres del proyecto. |