Google Distributed Cloud (GDC) air-gapped propose Identity and Access Management (IAM) pour un accès précis à des ressources Distributed Cloud spécifiques et empêche tout accès indésirable à d'autres ressources. IAM fonctionne selon le principe de sécurité du moindre privilège et contrôle qui peut accéder à des ressources données à l'aide de rôles et d'autorisations IAM.
Un rôle est un ensemble d'autorisations spécifiques mappées à certaines actions sur les ressources et attribuées à des sujets individuels, tels que des utilisateurs, des groupes d'utilisateurs ou des comptes de service. Par conséquent, vous devez disposer des rôles et autorisations IAM appropriés pour utiliser les services de surveillance et de journalisation sur Distributed Cloud.
IAM sur Distributed Cloud propose les niveaux d'accès suivants pour les autorisations :
- Rôles au niveau de l'organisation : accordez à un sujet des autorisations au niveau de l'organisation pour déployer des ressources personnalisées dans tous les espaces de noms de projet du serveur d'API global et activer les services dans tous les projets de l'ensemble de votre organisation.
- Rôles au niveau du projet : accordez à un sujet des autorisations au niveau du projet pour déployer des ressources personnalisées dans l'espace de noms du projet du serveur d'API global et activer les services uniquement dans l'espace de noms de votre projet.
Si vous ne parvenez pas à accéder à un service de surveillance ou de journalisation, ou à l'utiliser, contactez votre administrateur pour qu'il vous attribue les rôles nécessaires. Demandez les autorisations appropriées à l'administrateur IAM de votre projet. Si vous avez besoin d'autorisations au niveau de l'organisation, demandez-les plutôt à votre administrateur IAM de l'organisation.
Cette page décrit tous les rôles et leurs autorisations respectives pour l'utilisation des services de surveillance et de journalisation.
Rôles prédéfinis au niveau de l'organisation
Demandez les autorisations appropriées à l'administrateur IAM de votre organisation pour configurer la journalisation et la surveillance dans une organisation, et pour gérer le cycle de vie d'un projet qui utilise des services d'observabilité.
Pour accorder aux membres de l'équipe un accès aux ressources à l'échelle de l'organisation, attribuez des rôles en créant des liaisons de rôle sur le serveur d'API global à l'aide de son fichier kubeconfig. Pour accorder des autorisations ou recevoir un accès aux ressources au niveau de l'organisation, consultez Accorder et révoquer l'accès.
Ressources de surveillance
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de surveillance :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation |
|---|---|---|
| Créateur de tableaux de bord PA | dashboard-pa-creator |
Créez des ressources personnalisées Dashboard. |
| Éditeur de PA de tableau de bord | dashboard-pa-editor |
Modifiez les ressources personnalisées Dashboard. |
| Lecteur de PA du tableau de bord | dashboard-pa-viewer |
Affichez les ressources personnalisées Dashboard. |
| Créateur de règles de surveillance PA | monitoringrule-pa-creator |
Créez des ressources personnalisées MonitoringRule. |
| Éditeur de règles de surveillance PA | monitoringrule-pa-editor |
Modifiez les ressources personnalisées MonitoringRule. |
| Lecteur PA MonitoringRule | monitoringrule-pa-viewer |
Affichez les ressources personnalisées MonitoringRule. |
| Créateur de PA MonitoringTarget | monitoringtarget-pa-creator |
Créez des ressources personnalisées MonitoringTarget. |
| Éditeur de PA MonitoringTarget | monitoringtarget-pa-editor |
Modifiez les ressources personnalisées MonitoringTarget. |
| Lecteur PA MonitoringTarget | monitoringtarget-pa-viewer |
Affichez les ressources personnalisées MonitoringTarget. |
| Créateur de PA ObservabilityPipeline | observabilitypipeline-pa-creator |
Créez des ressources personnalisées ObservabilityPipeline. |
| Éditeur ObservabilityPipeline PA | observabilitypipeline-pa-editor |
Modifiez les ressources personnalisées ObservabilityPipeline. |
| Lecteur ObservabilityPipeline PA | observabilitypipeline-pa-viewer |
Affichez les ressources personnalisées ObservabilityPipeline. |
| Lecteur Grafana de l'organisation | organization-grafana-viewer |
Visualisez les données d'observabilité liées à l'organisation dans les tableaux de bord de l'instance de surveillance Grafana. |
Ressources de journalisation
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de journalisation :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation |
|---|---|---|
| LoggingRule PA Creator | loggingrule-pa-creator |
Créez des ressources personnalisées LoggingRule. |
| Éditeur PA LoggingRule | loggingrule-pa-editor |
Modifiez les ressources personnalisées LoggingRule. |
| Lecteur de règles de journalisation PA | loggingrule-pa-viewer |
Affichez les ressources personnalisées LoggingRule. |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
Créez des ressources personnalisées LoggingTarget. |
| Éditeur LoggingTarget PA | loggingtarget-pa-editor |
Modifiez les ressources personnalisées LoggingTarget. |
| Visionneuse PA LoggingTarget | loggingtarget-pa-viewer |
Affichez les ressources personnalisées LoggingTarget. |
Rôles prédéfinis au niveau du projet
Demandez les autorisations appropriées à l'administrateur IAM de votre projet pour utiliser les services de journalisation et de surveillance dans un projet. Tous les rôles doivent être associés à l'espace de noms du projet dans lequel vous utilisez le service.
Pour accorder aux membres de l'équipe un accès aux ressources à l'échelle du projet, attribuez des rôles en créant des liaisons de rôle sur le serveur d'API global à l'aide de son fichier kubeconfig. Pour accorder des autorisations ou recevoir un accès aux ressources au niveau du projet, consultez Accorder et révoquer l'accès.
Ressources de surveillance
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de surveillance :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation |
|---|---|---|
| Créateur de ConfigMap | configmap-creator |
Créez des objets ConfigMap dans l'espace de noms du projet. |
| Éditeur de tableaux de bord | dashboard-editor |
Modifiez les ressources personnalisées Dashboard dans l'espace de noms du projet. |
| Lecteur de tableaux de bord | dashboard-viewer |
Affichez les ressources personnalisées Dashboard dans l'espace de noms du projet. |
| Éditeur MonitoringRule | monitoringrule-editor |
Modifiez les ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
| Lecteur MonitoringRule | monitoringrule-viewer |
Affichez les ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
| Éditeur MonitoringTarget | monitoringtarget-editor |
Modifiez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
| Lecteur MonitoringTarget | monitoringtarget-viewer |
Affichez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
| Éditeur ObservabilityPipeline | observabilitypipeline-editor |
Modifiez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
| Lecteur ObservabilityPipeline | observabilitypipeline-viewer |
Affichez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
| Éditeur Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Modifiez l'instance Cortex Alertmanager dans l'espace de noms du projet. |
| Lecteur Alertmanager Project Cortex | project-cortex-alertmanager-viewer |
Accédez à l'instance Cortex Alertmanager dans l'espace de noms du projet. |
| Lecteur Prometheus Project Cortex | project-cortex-prometheus-viewer |
Accédez à l'instance Prometheus de Cortex dans l'espace de noms du projet. |
| Lecteur Grafana de projet | project-grafana-viewer |
Visualisez les données d'observabilité liées au projet dans les tableaux de bord de l'instance de surveillance Grafana. |
Ressources de journalisation
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de journalisation :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation |
|---|---|---|
| Créateur de buckets de restauration de la plate-forme des journaux d'audit | audit-logs-platform-restore-bucket-creator |
Créez des buckets de sauvegarde pour restaurer les journaux d'audit de la plate-forme. |
| Lecteur de buckets de plate-forme de journaux d'audit | audit-logs-platform-bucket-viewer |
Affichez les buckets de sauvegarde des journaux d'audit de la plate-forme. |
| LoggingRule Creator | loggingrule-creator |
Créez des ressources personnalisées LoggingRule dans l'espace de noms du projet. |
| Éditeur LoggingRule | loggingrule-editor |
Modifiez les ressources personnalisées LoggingRule dans l'espace de noms du projet. |
| Lecteur de règles de journalisation | loggingrule-viewer |
Affichez les ressources personnalisées LoggingRule dans l'espace de noms du projet. |
| Créateur de LoggingTarget | loggingtarget-creator |
Créez des ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
| Éditeur LoggingTarget | loggingtarget-editor |
Modifiez les ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
| Visionneuse LoggingTarget | loggingtarget-viewer |
Affichez les ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
| Interrogateur de l'API Log Query | log-query-api-querier |
Accédez à l'API Log Query pour interroger les journaux. |
| Créateur d'organisation d'exportation SIEM | siemexport-org-creator |
Créez des ressources personnalisées SIEMOrgForwarder dans l'espace de noms du projet. |
| Éditeur des exportations SIEM de l'organisation | siemexport-org-editor |
Modifiez les ressources personnalisées SIEMOrgForwarder dans l'espace de noms du projet. |
| Lecteur de l'organisation d'exportation SIEM | siemexport-org-viewer |
Affichez les ressources personnalisées SIEMOrgForwarder dans l'espace de noms du projet. |