Google Distributed Cloud(GDC)エアギャップでは、特定の Distributed Cloud リソースに対するアクセス権を詳細に設定できる Identity and Access Management(IAM)が提供されており、他のリソースへの不要なアクセスを防ぐことができます。IAM は最小権限のセキュリティ原則に基づいて動作し、IAM ロールと権限を使用して、特定のリソースにアクセスできるユーザーを制御します。
ロールは、リソースに対する特定のアクションにマッピングされ、ユーザー、ユーザー グループ、サービス アカウントなどの個々のサブジェクトに割り当てられる特定の権限の集合です。したがって、Distributed Cloud でモニタリング サービスとロギング サービスを使用するには、適切な IAM ロールと権限が必要です。
Distributed Cloud の IAM では、権限に次のアクセスレベルが用意されています。
- 組織レベルのロール: 組織レベルの権限を持つサブジェクトに、グローバル API サーバーのすべてのプロジェクト Namespace にカスタム リソースをデプロイし、組織全体のすべてのプロジェクトでサービスを有効にする権限を付与します。
プロジェクト レベルのロール: プロジェクト レベルの権限を持つサブジェクトに、グローバル API サーバーのプロジェクト Namespace にカスタム リソースをデプロイし、プロジェクト Namespace でのみサービスを有効にする権限を付与します。
モニタリング サービスまたはロギング サービスにアクセスできない場合や使用できない場合は、必要なロールを付与するよう管理者に依頼してください。特定のプロジェクトについて、プロジェクト IAM 管理者に適切な権限をリクエストします。組織レベルの権限が必要な場合は、組織の IAM 管理者に依頼してください。
このページでは、モニタリング サービスとロギング サービスの使用に関するすべてのロールとそれぞれの権限について説明します。
組織レベルの事前定義ロール
組織でロギングとモニタリングを設定し、オブザーバビリティ サービスを使用するプロジェクトのライフサイクルを管理するには、組織の IAM 管理者に適切な権限をリクエストします。
チームメンバーに組織全体のリソース アクセス権を付与するには、グローバル API サーバーの kubeconfig ファイルを使用して、グローバル API サーバーにロール バインディングを作成してロールを割り当てます。組織レベルで権限を付与したり、リソースへのロール アクセス権を取得したりするには、アクセス権の付与と取り消しをご覧ください。
モニタリング リソース
次の表に、モニタリング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 |
|---|---|---|
| Dashboard PA Creator | dashboard-pa-creator |
Dashboard カスタム リソースを作成します。 |
| Dashboard PA Editor | dashboard-pa-editor |
Dashboard カスタム リソースを編集または変更する。 |
| Dashboard PA Viewer | dashboard-pa-viewer |
Dashboard カスタム リソースを表示します。 |
| MonitoringRule PA 作成者 | monitoringrule-pa-creator |
MonitoringRule カスタム リソースを作成します。 |
| MonitoringRule PA 編集者 | monitoringrule-pa-editor |
MonitoringRule カスタム リソースを編集または変更する。 |
| MonitoringRule PA 閲覧者 | monitoringrule-pa-viewer |
MonitoringRule カスタム リソースを表示します。 |
| MonitoringTarget PA 作成者 | monitoringtarget-pa-creator |
MonitoringTarget カスタム リソースを作成します。 |
| MonitoringTarget PA 編集者 | monitoringtarget-pa-editor |
MonitoringTarget カスタム リソースを編集または変更する。 |
| MonitoringTarget PA 閲覧者 | monitoringtarget-pa-viewer |
MonitoringTarget カスタム リソースを表示します。 |
| ObservabilityPipeline PA 作成者 | observabilitypipeline-pa-creator |
ObservabilityPipeline カスタム リソースを作成します。 |
| ObservabilityPipeline PA 編集者 | observabilitypipeline-pa-editor |
ObservabilityPipeline カスタム リソースを編集または変更する。 |
| ObservabilityPipeline PA 閲覧者 | observabilitypipeline-pa-viewer |
ObservabilityPipeline カスタム リソースを表示します。 |
| 組織 Grafana 閲覧者 | organization-grafana-viewer |
Grafana モニタリング インスタンスのダッシュボードで、組織関連のオブザーバビリティ データを可視化します。 |
ロギング リソース
次の表に、ロギング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 |
|---|---|---|
| LoggingRule PA 作成者 | loggingrule-pa-creator |
LoggingRule カスタム リソースを作成します。 |
| LoggingRule PA 編集者 | loggingrule-pa-editor |
LoggingRule カスタム リソースを編集または変更する。 |
| LoggingRule PA 閲覧者 | loggingrule-pa-viewer |
LoggingRule カスタム リソースを表示します。 |
| LoggingTarget PA 作成者 | loggingtarget-pa-creator |
LoggingTarget カスタム リソースを作成します。 |
| LoggingTarget PA 編集者 | loggingtarget-pa-editor |
LoggingTarget カスタム リソースを編集または変更する。 |
| LoggingTarget PA 閲覧者 | loggingtarget-pa-viewer |
LoggingTarget カスタム リソースを表示します。 |
プロジェクト レベルの事前定義ロール
プロジェクトでロギング サービスとモニタリング サービスを使用するには、プロジェクト IAM 管理者に適切な権限をリクエストします。すべてのロールは、サービスを使用しているプロジェクトの Namespace にバインドする必要があります。
チームメンバーにプロジェクト全体の Resource へのアクセス権を付与するには、kubeconfig ファイルを使用してグローバル API サーバーにロール バインディングを作成して、ロールを割り当てます。プロジェクト レベルでリソースに対する権限を付与する、またはロール アクセス権を取得するには、アクセス権の付与と取り消しをご覧ください。
モニタリング リソース
次の表に、モニタリング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 |
|---|---|---|
| ConfigMap 作成者 | configmap-creator |
プロジェクト Namespace に ConfigMap オブジェクトを作成します。 |
| ダッシュボード エディタ | dashboard-editor |
プロジェクト Namespace の Dashboard カスタム リソースを編集または変更します。 |
| ダッシュボード閲覧者 | dashboard-viewer |
プロジェクト Namespace の Dashboard カスタム リソースを表示します。 |
| MonitoringRule エディタ | monitoringrule-editor |
プロジェクト Namespace の MonitoringRule カスタム リソースを編集または変更します。 |
| MonitoringRule 閲覧者 | monitoringrule-viewer |
プロジェクト Namespace の MonitoringRule カスタム リソースを表示します。 |
| MonitoringTarget 編集者 | monitoringtarget-editor |
プロジェクト Namespace の MonitoringTarget カスタム リソースを編集または変更します。 |
| MonitoringTarget 閲覧者 | monitoringtarget-viewer |
プロジェクト Namespace の MonitoringTarget カスタム リソースを表示します。 |
| ObservabilityPipeline 編集者 | observabilitypipeline-editor |
プロジェクト Namespace の ObservabilityPipeline カスタム リソースを編集または変更します。 |
| ObservabilityPipeline 閲覧者 | observabilitypipeline-viewer |
プロジェクト Namespace の ObservabilityPipeline カスタム リソースを表示します。 |
| Project Cortex Alertmanager 編集者 | project-cortex-alertmanager-editor |
プロジェクトの Namespace で Cortex Alertmanager インスタンスを編集します。 |
| Project Cortex Alertmanager 閲覧者 | project-cortex-alertmanager-viewer |
プロジェクト Namespace の Cortex Alertmanager インスタンスにアクセスします。 |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
プロジェクト Namespace の Cortex Prometheus インスタンスにアクセスします。 |
| プロジェクト Grafana 閲覧者 | project-grafana-viewer |
Grafana モニタリング インスタンスのダッシュボードで、プロジェクト関連のオブザーバビリティ データを可視化します。 |
ロギング リソース
次の表に、ロギング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 |
|---|---|---|
| 監査ログ プラットフォーム復元バケット作成者 | audit-logs-platform-restore-bucket-creator |
プラットフォームの監査ログを復元するためのバックアップ バケットを作成します。 |
| 監査ログ プラットフォーム バケット閲覧者 | audit-logs-platform-bucket-viewer |
プラットフォーム監査ログのバックアップ バケットを表示します。 |
| LoggingRule 作成者 | loggingrule-creator |
プロジェクト Namespace に LoggingRule カスタム リソースを作成します。 |
| LoggingRule エディタ | loggingrule-editor |
プロジェクト Namespace の LoggingRule カスタム リソースを編集または変更します。 |
| LoggingRule 閲覧者 | loggingrule-viewer |
プロジェクト Namespace の LoggingRule カスタム リソースを表示します。 |
| LoggingTarget Creator | loggingtarget-creator |
プロジェクト Namespace に LoggingTarget カスタム リソースを作成します。 |
| LoggingTarget エディタ | loggingtarget-editor |
プロジェクト Namespace の LoggingTarget カスタム リソースを編集または変更します。 |
| LoggingTarget 閲覧者 | loggingtarget-viewer |
プロジェクト Namespace の LoggingTarget カスタム リソースを表示します。 |
| Log Query API Querier | log-query-api-querier |
Log Query API にアクセスしてログをクエリします。 |
| SIEM エクスポート組織の作成者 | siemexport-org-creator |
プロジェクト Namespace に SIEMOrgForwarder カスタム リソースを作成します。 |
| SIEM エクスポート組織編集者 | siemexport-org-editor |
プロジェクト Namespace の SIEMOrgForwarder カスタム リソースを編集または変更します。 |
| SIEM エクスポート組織閲覧者 | siemexport-org-viewer |
プロジェクト Namespace の SIEMOrgForwarder カスタム リソースを表示します。 |