O Google Distributed Cloud (GDC) air-gapped oferece o Identity and Access Management (IAM) para acesso granular a recursos específicos do Distributed Cloud e impede o acesso indesejado a outros recursos. O IAM opera com o princípio de segurança de privilégio mínimo e controla quem pode acessar determinados recursos usando papéis e permissões do IAM.
Um papel é um conjunto de permissões específicas mapeadas para determinadas ações em recursos e atribuídas a assuntos individuais, como usuários, grupos de usuários ou contas de serviço. Portanto, é preciso ter as funções e permissões adequadas do IAM para usar os serviços de monitoramento e geração de registros no Distributed Cloud.
O IAM no Distributed Cloud oferece os seguintes níveis de acesso para permissões:
- Papéis no nível da organização: conceda a um assunto permissões no nível da organização para implantar recursos personalizados em todos os namespaces de projeto do servidor de API global e ativar serviços em todos os projetos da organização.
- Funções no nível do projeto: conceda a um assunto permissões no nível do projeto para implantar recursos personalizados no namespace do projeto do servidor de API global e ative serviços apenas no namespace do seu projeto.
Se você não conseguir acessar ou usar um serviço de monitoramento ou geração de registros, entre em contato com seu administrador para receber as funções necessárias. Solicite as permissões adequadas ao administrador do IAM do projeto. Se você precisar de permissões no nível da organização, peça ao administrador do IAM da organização.
Nesta página, descrevemos todos os papéis e as respectivas permissões para usar os serviços de monitoramento e geração de registros.
Papéis predefinidos no nível da organização
Peça as permissões adequadas ao administrador do IAM da organização para configurar registro em log e monitoramento em uma organização e gerenciar o ciclo de vida de um projeto que usa serviços de capacidade de observação.
Para conceder aos membros da equipe acesso a recursos em toda a organização, atribua papéis criando vinculações de função no servidor da API global usando o arquivo kubeconfig. Para conceder permissões ou receber acesso a recursos no nível da organização, consulte Conceder e revogar acesso.
Recursos de monitoramento
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de monitoramento:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão |
|---|---|---|
| Criador de PA do painel | dashboard-pa-creator |
Crie recursos personalizados Dashboard. |
| Editor de PA do painel | dashboard-pa-editor |
Edite ou modifique recursos personalizados Dashboard. |
| Leitor de PA do painel | dashboard-pa-viewer |
Veja os recursos personalizados Dashboard. |
| MonitoringRule PA Creator | monitoringrule-pa-creator |
Crie recursos personalizados MonitoringRule. |
| Editor de PA MonitoringRule | monitoringrule-pa-editor |
Edite ou modifique recursos personalizados MonitoringRule. |
| Leitor de PA da MonitoringRule | monitoringrule-pa-viewer |
Veja os recursos personalizados MonitoringRule. |
| Criador de PA do MonitoringTarget | monitoringtarget-pa-creator |
Crie recursos personalizados MonitoringTarget. |
| Editor de PA do MonitoringTarget | monitoringtarget-pa-editor |
Edite ou modifique recursos personalizados MonitoringTarget. |
| Leitor de PA do MonitoringTarget | monitoringtarget-pa-viewer |
Veja os recursos personalizados MonitoringTarget. |
| Criador de PA do ObservabilityPipeline | observabilitypipeline-pa-creator |
Crie recursos personalizados ObservabilityPipeline. |
| Editor de PA do ObservabilityPipeline | observabilitypipeline-pa-editor |
Edite ou modifique recursos personalizados ObservabilityPipeline. |
| Leitor de PA do ObservabilityPipeline | observabilitypipeline-pa-viewer |
Veja os recursos personalizados ObservabilityPipeline. |
| Leitor do Grafana da organização | organization-grafana-viewer |
Visualize dados de observabilidade relacionados à organização nos painéis da instância de monitoramento do Grafana. |
Recursos do Logging
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de geração de registros:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão |
|---|---|---|
| LoggingRule PA Creator | loggingrule-pa-creator |
Crie recursos personalizados LoggingRule. |
| Editor de PA LoggingRule | loggingrule-pa-editor |
Edite ou modifique recursos personalizados LoggingRule. |
| Leitor de PA LoggingRule | loggingrule-pa-viewer |
Veja os recursos personalizados LoggingRule. |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
Crie recursos personalizados LoggingTarget. |
| Editor de PA LoggingTarget | loggingtarget-pa-editor |
Edite ou modifique recursos personalizados LoggingTarget. |
| Leitor de PA LoggingTarget | loggingtarget-pa-viewer |
Veja os recursos personalizados LoggingTarget. |
Papéis predefinidos no nível do projeto
Peça as permissões adequadas ao administrador do IAM do projeto para usar os serviços de geração de registros e monitoramento em um projeto. Todas as funções precisam ser vinculadas ao namespace do projeto em que você está usando o serviço.
Para conceder aos membros da equipe acesso a recursos em todo o projeto, atribua papéis criando vinculações de função no servidor da API global usando o arquivo kubeconfig. Para conceder permissões ou receber acesso a recursos no nível do projeto, consulte Conceder e revogar acesso.
Recursos de monitoramento
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de monitoramento:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão |
|---|---|---|
| Criador de ConfigMap | configmap-creator |
Crie objetos ConfigMap no namespace do projeto. |
| Editor de painel | dashboard-editor |
Edite ou modifique recursos personalizados Dashboard no namespace do projeto. |
| Leitor de painéis | dashboard-viewer |
Veja os recursos personalizados Dashboard no namespace do projeto. |
| Editor do MonitoringRule | monitoringrule-editor |
Edite ou modifique recursos personalizados MonitoringRule no namespace do projeto. |
| Leitor de MonitoringRule | monitoringrule-viewer |
Veja os recursos personalizados MonitoringRule no namespace do projeto. |
| Editor do MonitoringTarget | monitoringtarget-editor |
Edite ou modifique recursos personalizados MonitoringTarget no namespace do projeto. |
| Leitor do MonitoringTarget | monitoringtarget-viewer |
Veja os recursos personalizados MonitoringTarget no namespace do projeto. |
| Editor do ObservabilityPipeline | observabilitypipeline-editor |
Edite ou modifique recursos personalizados ObservabilityPipeline no namespace do projeto. |
| Leitor do ObservabilityPipeline | observabilitypipeline-viewer |
Veja os recursos personalizados ObservabilityPipeline no namespace do projeto. |
| Editor do Alertmanager do Project Cortex | project-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no namespace do projeto. |
| Leitor do Alertmanager do Project Cortex | project-cortex-alertmanager-viewer |
Acesse a instância do Cortex Alertmanager no namespace do projeto. |
| Leitor do Prometheus do Project Cortex | project-cortex-prometheus-viewer |
Acesse a instância do Cortex Prometheus no namespace do projeto. |
| Leitor do Grafana do projeto | project-grafana-viewer |
Visualize dados de observabilidade relacionados ao projeto nos painéis da instância de monitoramento do Grafana. |
Recursos do Logging
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de geração de registros:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão |
|---|---|---|
| Criador de bucket de restauração da plataforma de registros de auditoria | audit-logs-platform-restore-bucket-creator |
Crie buckets de backup para restaurar os registros de auditoria da plataforma. |
| Leitor do bucket da plataforma de registros de auditoria | audit-logs-platform-bucket-viewer |
Acessar buckets de backup de registros de auditoria da plataforma. |
| LoggingRule Creator | loggingrule-creator |
Crie recursos personalizados LoggingRule no namespace do projeto. |
| Editor de LoggingRule | loggingrule-editor |
Edite ou modifique recursos personalizados LoggingRule no namespace do projeto. |
| Leitor de LoggingRule | loggingrule-viewer |
Veja os recursos personalizados LoggingRule no namespace do projeto. |
| LoggingTarget Creator | loggingtarget-creator |
Crie recursos personalizados LoggingTarget no namespace do projeto. |
| Editor do LoggingTarget | loggingtarget-editor |
Edite ou modifique recursos personalizados LoggingTarget no namespace do projeto. |
| Leitor do LoggingTarget | loggingtarget-viewer |
Veja os recursos personalizados LoggingTarget no namespace do projeto. |
| Consultador da API Log Query | log-query-api-querier |
Acesse a API Log Query para consultar registros. |
| Criador de organizações de exportação do SIEM | siemexport-org-creator |
Crie recursos personalizados SIEMOrgForwarder no namespace do projeto. |
| Editor da organização de exportação do SIEM | siemexport-org-editor |
Edite ou modifique recursos personalizados SIEMOrgForwarder no namespace do projeto. |
| Leitor da organização de exportação do SIEM | siemexport-org-viewer |
Veja os recursos personalizados SIEMOrgForwarder no namespace do projeto. |