Google Distributed Cloud (GDC) air-gapped menawarkan Identity and Access Management (IAM) untuk akses terperinci ke resource Distributed Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM beroperasi berdasarkan prinsip keamanan hak istimewa terendah dan mengontrol siapa yang dapat mengakses resource tertentu menggunakan peran dan izin IAM.
Peran adalah kumpulan izin tertentu yang dipetakan ke tindakan tertentu pada resource dan ditetapkan ke subjek individual, seperti pengguna, grup pengguna, atau akun layanan. Oleh karena itu, Anda harus memiliki peran dan izin IAM yang tepat untuk menggunakan layanan pemantauan dan logging di Distributed Cloud.
IAM di Distributed Cloud menawarkan tingkat akses berikut untuk izin:
- Peran tingkat organisasi: Berikan izin kepada subjek di tingkat organisasi untuk men-deploy resource kustom di semua namespace project server API global dan mengaktifkan layanan di semua project di seluruh organisasi Anda.
- Peran tingkat project: Beri subjek izin di tingkat project untuk men-deploy resource kustom ke namespace project server API global dan mengaktifkan layanan hanya di namespace project Anda.
Jika Anda tidak dapat mengakses atau menggunakan layanan pemantauan atau pencatatan log, hubungi administrator Anda untuk memberi Anda peran yang diperlukan. Minta izin yang sesuai dari Admin IAM Project Anda untuk project tertentu. Jika Anda memerlukan izin di tingkat organisasi, minta Admin IAM Organisasi Anda.
Halaman ini menjelaskan semua peran dan izin masing-masing untuk menggunakan layanan pemantauan dan logging.
Peran standar di tingkat organisasi
Minta izin yang sesuai dari Admin IAM Organisasi Anda untuk menyiapkan pencatatan log dan pemantauan di organisasi serta mengelola siklus proses project yang menggunakan layanan keoperasian.
Untuk memberikan akses resource di seluruh organisasi kepada anggota tim, tetapkan peran dengan membuat binding peran di server API global menggunakan file kubeconfig-nya. Untuk memberikan izin atau menerima akses peran ke resource di tingkat organisasi, lihat Memberikan dan mencabut akses.
Memantau resource
Tabel berikut memberikan detail tentang izin yang ditetapkan ke setiap peran yang telah ditetapkan untuk memantau resource:
| Nama peran | Nama resource Kubernetes | Deskripsi izin |
|---|---|---|
| Dasbor Pembuat PA | dashboard-pa-creator |
Buat resource kustom Dashboard. |
| Dashboard PA Editor | dashboard-pa-editor |
Mengedit atau mengubah resource kustom Dashboard. |
| Dashboard PA Viewer | dashboard-pa-viewer |
Melihat resource kustom Dashboard. |
| MonitoringRule PA Creator | monitoringrule-pa-creator |
Buat resource kustom MonitoringRule. |
| MonitoringRule PA Editor | monitoringrule-pa-editor |
Mengedit atau mengubah resource kustom MonitoringRule. |
| MonitoringRule PA Viewer | monitoringrule-pa-viewer |
Melihat resource kustom MonitoringRule. |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
Buat resource kustom MonitoringTarget. |
| MonitoringTarget PA Editor | monitoringtarget-pa-editor |
Mengedit atau mengubah resource kustom MonitoringTarget. |
| MonitoringTarget PA Viewer | monitoringtarget-pa-viewer |
Melihat resource kustom MonitoringTarget. |
| Pembuat PA ObservabilityPipeline | observabilitypipeline-pa-creator |
Buat resource kustom ObservabilityPipeline. |
| ObservabilityPipeline PA Editor | observabilitypipeline-pa-editor |
Mengedit atau mengubah resource kustom ObservabilityPipeline. |
| ObservabilityPipeline PA Viewer | observabilitypipeline-pa-viewer |
Melihat resource kustom ObservabilityPipeline. |
| Organization Grafana Viewer | organization-grafana-viewer |
Visualisasikan data keobservasian terkait organisasi di dasbor instance pemantauan Grafana. |
Resource logging
Tabel berikut memberikan detail tentang izin yang ditetapkan ke setiap peran yang telah ditetapkan untuk resource logging:
| Nama peran | Nama resource Kubernetes | Deskripsi izin |
|---|---|---|
| Pembuat PA LoggingRule | loggingrule-pa-creator |
Buat resource kustom LoggingRule. |
| LoggingRule PA Editor | loggingrule-pa-editor |
Mengedit atau mengubah resource kustom LoggingRule. |
| LoggingRule PA Viewer | loggingrule-pa-viewer |
Melihat resource kustom LoggingRule. |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
Buat resource kustom LoggingTarget. |
| LoggingTarget PA Editor | loggingtarget-pa-editor |
Mengedit atau mengubah resource kustom LoggingTarget. |
| LoggingTarget PA Viewer | loggingtarget-pa-viewer |
Melihat resource kustom LoggingTarget. |
Peran yang telah ditentukan sebelumnya di tingkat project
Minta izin yang sesuai dari Admin IAM Project Anda untuk menggunakan layanan logging dan pemantauan dalam project. Semua peran harus terikat ke namespace project tempat Anda menggunakan layanan.
Untuk memberikan akses resource di seluruh project kepada anggota tim, tetapkan peran dengan membuat binding peran di server API global menggunakan file kubeconfig-nya. Untuk memberikan izin atau menerima akses peran ke resource di tingkat project, lihat Memberikan dan mencabut akses.
Memantau resource
Tabel berikut memberikan detail tentang izin yang ditetapkan ke setiap peran yang telah ditetapkan untuk memantau resource:
| Nama peran | Nama resource Kubernetes | Deskripsi izin |
|---|---|---|
| Pembuat ConfigMap | configmap-creator |
Buat objek ConfigMap di namespace project. |
| Editor Dasbor | dashboard-editor |
Mengedit atau mengubah Dashboard resource kustom di namespace project. |
| Pelihat Dasbor | dashboard-viewer |
Lihat resource kustom Dashboard di namespace project. |
| MonitoringRule Editor | monitoringrule-editor |
Mengedit atau mengubah MonitoringRule resource kustom di namespace project. |
| MonitoringRule Viewer | monitoringrule-viewer |
Lihat resource kustom MonitoringRule di namespace project. |
| MonitoringTarget Editor | monitoringtarget-editor |
Mengedit atau mengubah MonitoringTarget resource kustom di namespace project. |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Lihat resource kustom MonitoringTarget di namespace project. |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
Mengedit atau mengubah ObservabilityPipeline resource kustom di namespace project. |
| ObservabilityPipeline Viewer | observabilitypipeline-viewer |
Lihat resource kustom ObservabilityPipeline di namespace project. |
| Project Cortex Alertmanager Editor | project-cortex-alertmanager-editor |
Edit instance Cortex Alertmanager di namespace project. |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
Akses instance Cortex Alertmanager di namespace project. |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
Akses instance Cortex Prometheus di namespace project. |
| Project Grafana Viewer | project-grafana-viewer |
Visualisasikan data keobservasian terkait project pada dasbor instance pemantauan Grafana. |
Resource logging
Tabel berikut memberikan detail tentang izin yang ditetapkan ke setiap peran yang telah ditetapkan untuk resource logging:
| Nama peran | Nama resource Kubernetes | Deskripsi izin |
|---|---|---|
| Pembuat Bucket Pemulihan Platform Log Audit | audit-logs-platform-restore-bucket-creator |
Buat bucket cadangan untuk memulihkan log audit platform. |
| Pelihat Bucket Platform Log Audit | audit-logs-platform-bucket-viewer |
Melihat bucket cadangan log audit platform. |
| LoggingRule Creator | loggingrule-creator |
Buat resource kustom LoggingRule di namespace project. |
| LoggingRule Editor | loggingrule-editor |
Mengedit atau mengubah LoggingRule resource kustom di namespace project. |
| LoggingRule Viewer | loggingrule-viewer |
Lihat resource kustom LoggingRule di namespace project. |
| Pembuat LoggingTarget | loggingtarget-creator |
Buat resource kustom LoggingTarget di namespace project. |
| LoggingTarget Editor | loggingtarget-editor |
Mengedit atau mengubah LoggingTarget resource kustom di namespace project. |
| LoggingTarget Viewer | loggingtarget-viewer |
Lihat resource kustom LoggingTarget di namespace project. |
| Pengirim Kueri Log API | log-query-api-querier |
Akses Log Query API untuk mengkueri log. |
| Pembuat Org Ekspor SIEM | siemexport-org-creator |
Buat resource kustom SIEMOrgForwarder di namespace project. |
| SIEM Export Org Editor | siemexport-org-editor |
Mengedit atau mengubah SIEMOrgForwarder resource kustom di namespace project. |
| SIEM Export Org Viewer | siemexport-org-viewer |
Lihat resource kustom SIEMOrgForwarder di namespace project. |