Google Distributed Cloud (GDC) air-gapped offre Identity and Access Management (IAM) per l'accesso granulare a risorse Distributed Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM opera in base al principio di sicurezza del privilegio minimo e controlla chi può accedere a determinate risorse utilizzando ruoli e autorizzazioni IAM.
Un ruolo è un insieme di autorizzazioni specifiche mappate a determinate azioni sulle risorse e assegnate a singoli soggetti, come utenti, gruppi di utenti o service account. Pertanto, devi disporre dei ruoli e delle autorizzazioni IAM appropriati per utilizzare i servizi di monitoraggio e logging su Distributed Cloud.
IAM su Distributed Cloud offre i seguenti livelli di accesso per le autorizzazioni:
- Ruoli a livello di organizzazione: concedi a un soggetto autorizzazioni a livello di organizzazione per eseguire il deployment di risorse personalizzate in tutti gli spazi dei nomi dei progetti del server API globale e abilitare i servizi in tutti i progetti dell'intera organizzazione.
- Ruoli a livello di progetto: concedi a un soggetto autorizzazioni a livello di progetto per eseguire il deployment di risorse personalizzate nello spazio dei nomi del progetto del server API globale e abilitare i servizi solo nello spazio dei nomi del progetto.
Se non riesci ad accedere o a utilizzare un servizio di monitoraggio o logging, contatta l'amministratore per ottenere i ruoli necessari. Richiedi le autorizzazioni appropriate all'amministratore IAM progetto per un determinato progetto. Se hai bisogno di autorizzazioni a livello di organizzazione, rivolgiti all'amministratore IAM dell'organizzazione.
Questa pagina descrive tutti i ruoli e le rispettive autorizzazioni per l'utilizzo dei servizi di monitoraggio e logging.
Ruoli predefiniti a livello di organizzazione
Richiedi le autorizzazioni appropriate all'amministratore IAM dell'organizzazione per configurare il logging e il monitoraggio in un'organizzazione e gestire il ciclo di vita di un progetto che utilizza i servizi di osservabilità.
Per concedere ai membri del team l'accesso alle risorse a livello di organizzazione, assegna i ruoli creando associazioni di ruoli sul server API globale utilizzando il relativo file kubeconfig. Per concedere autorizzazioni o ricevere l'accesso ai ruoli alle risorse a livello di organizzazione, consulta Concedere e revocare l'accesso.
Monitoraggio delle risorse
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per il monitoraggio delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione |
|---|---|---|
| Dashboard PA Creator | dashboard-pa-creator |
Crea risorse personalizzate Dashboard. |
| Editor PA della dashboard | dashboard-pa-editor |
Modifica o modifica le risorse personalizzate Dashboard. |
| Dashboard PA Viewer | dashboard-pa-viewer |
Visualizza le Dashboardrisorse personalizzate. |
| MonitoringRule PA Creator | monitoringrule-pa-creator |
Crea risorse personalizzate MonitoringRule. |
| MonitoringRule PA Editor | monitoringrule-pa-editor |
Modifica o modifica le risorse personalizzate MonitoringRule. |
| MonitoringRule PA Viewer | monitoringrule-pa-viewer |
Visualizza le MonitoringRulerisorse personalizzate. |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
Crea risorse personalizzate MonitoringTarget. |
| MonitoringTarget PA Editor | monitoringtarget-pa-editor |
Modifica o modifica le risorse personalizzate MonitoringTarget. |
| MonitoringTarget PA Viewer | monitoringtarget-pa-viewer |
Visualizza le MonitoringTargetrisorse personalizzate. |
| Creatore PA ObservabilityPipeline | observabilitypipeline-pa-creator |
Crea risorse personalizzate ObservabilityPipeline. |
| ObservabilityPipeline PA Editor | observabilitypipeline-pa-editor |
Modifica o modifica le risorse personalizzate ObservabilityPipeline. |
| ObservabilityPipeline PA Viewer | observabilitypipeline-pa-viewer |
Visualizza le ObservabilityPipelinerisorse personalizzate. |
| Visualizzatore Grafana dell'organizzazione | organization-grafana-viewer |
Visualizza i dati di osservabilità correlati all'organizzazione nelle dashboard dell'istanza di monitoraggio Grafana. |
Risorse di logging
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per la registrazione delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione |
|---|---|---|
| LoggingRule PA Creator | loggingrule-pa-creator |
Crea risorse personalizzate LoggingRule. |
| LoggingRule PA Editor | loggingrule-pa-editor |
Modifica o modifica le risorse personalizzate LoggingRule. |
| LoggingRule PA Viewer | loggingrule-pa-viewer |
Visualizza le LoggingRulerisorse personalizzate. |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
Crea risorse personalizzate LoggingTarget. |
| LoggingTarget PA Editor | loggingtarget-pa-editor |
Modifica o modifica le risorse personalizzate LoggingTarget. |
| LoggingTarget PA Viewer | loggingtarget-pa-viewer |
Visualizza le LoggingTargetrisorse personalizzate. |
Ruoli predefiniti a livello di progetto
Richiedi le autorizzazioni appropriate all'amministratore IAM del progetto per utilizzare i servizi di logging e monitoraggio in un progetto. Tutti i ruoli devono essere associati allo spazio dei nomi del progetto in cui utilizzi il servizio.
Per concedere ai membri del team l'accesso alle risorse a livello di progetto, assegna i ruoli creando associazioni di ruoli sul server API globale utilizzando il relativo file kubeconfig. Per concedere autorizzazioni o ricevere l'accesso ai ruoli alle risorse a livello di progetto, consulta Concedere e revocare l'accesso.
Monitoraggio delle risorse
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per il monitoraggio delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione |
|---|---|---|
| Creatore di ConfigMap | configmap-creator |
Crea oggetti ConfigMap nello spazio dei nomi del progetto. |
| Editor dashboard | dashboard-editor |
Modifica le risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
| Visualizzatore dashboard | dashboard-viewer |
Visualizza le risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
| MonitoringRule Editor | monitoringrule-editor |
Modifica le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
| MonitoringRule Viewer | monitoringrule-viewer |
Visualizza le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
| MonitoringTarget Editor | monitoringtarget-editor |
Modifica le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Visualizza le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
Modifica le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
| Visualizzatore ObservabilityPipeline | observabilitypipeline-viewer |
Visualizza le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
| Editor di Project Cortex Alertmanager | project-cortex-alertmanager-editor |
Modifica l'istanza di Cortex Alertmanager nello spazio dei nomi del progetto. |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
Accedi all'istanza di Cortex Alertmanager nello spazio dei nomi del progetto. |
| Visualizzatore Prometheus di Project Cortex | project-cortex-prometheus-viewer |
Accedi all'istanza di Cortex Prometheus nello spazio dei nomi del progetto. |
| Project Grafana Viewer | project-grafana-viewer |
Visualizza i dati di osservabilità correlati al progetto nelle dashboard dell'istanza di monitoraggio Grafana. |
Risorse di logging
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per la registrazione delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione |
|---|---|---|
| Audit Logs Platform Restore Bucket Creator | audit-logs-platform-restore-bucket-creator |
Crea bucket di backup per ripristinare i log di controllo della piattaforma. |
| Audit Logs Platform Bucket Viewer | audit-logs-platform-bucket-viewer |
Visualizza i bucket di backup dei log di controllo della piattaforma. |
| LoggingRule Creator | loggingrule-creator |
Crea risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
| LoggingRule Editor | loggingrule-editor |
Modifica le risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
| Visualizzatore LoggingRule | loggingrule-viewer |
Visualizza le risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
| LoggingTarget Creator | loggingtarget-creator |
Crea risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
| LoggingTarget Editor | loggingtarget-editor |
Modifica le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
| Visualizzatore LoggingTarget | loggingtarget-viewer |
Visualizza le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
| Log Query API Querier | log-query-api-querier |
Accedi all'API Log Query per eseguire query sui log. |
| SIEM Export Org Creator | siemexport-org-creator |
Crea risorse personalizzate SIEMOrgForwarder nello spazio dei nomi del progetto. |
| SIEM Export Org Editor | siemexport-org-editor |
Modifica le risorse personalizzate SIEMOrgForwarder nello spazio dei nomi del progetto. |
| Visualizzatore organizzazione esportazione SIEM | siemexport-org-viewer |
Visualizza le risorse personalizzate SIEMOrgForwarder nello spazio dei nomi del progetto. |