Google Distributed Cloud (GDC) 空气隔离环境提供 Identity and Access Management (IAM),可让您授予对特定 Distributed Cloud 资源的细化访问权限,并防止对其他资源进行不必要的访问。IAM 遵循最小权限安全原则,并使用 IAM 角色和权限来控制哪些用户可以访问指定资源。
角色是指一组与资源上的特定操作相关联的特定权限,可分配给用户、用户群组或服务账号等各个正文。因此,您必须拥有适当的 IAM 角色和权限,才能在 Distributed Cloud 上使用监控和日志记录服务。
Distributed Cloud 上的 IAM 为权限提供以下访问权限级别:
- 组织级角色:向正文授予组织级权限,以便在全局 API 服务器的所有项目命名空间中部署自定义资源,并启用整个组织的所有项目中的服务。
- 项目级角色:向具有项目级权限的主账号授予将自定义资源部署到全局 API 服务器的项目命名空间并仅在您的项目命名空间中启用服务的权限。
如果您无法访问或使用监控或日志记录服务,请与管理员联系,以便管理员为您授予必要的角色。向项目 IAM 管理员请求获取给定项目的相应权限。如果您需要组织级层的权限,请改向组织 IAM 管理员提出申请。
本页介绍了使用监控和日志记录服务的所有角色及其各自的权限。
组织级层的预定义角色
向组织 IAM 管理员请求适当的权限,以便在组织中设置日志记录和监控,并管理使用可观测性服务的项目的生命周期。
如需向团队成员授予组织级资源访问权限,请使用全局 API 服务器的 kubeconfig 文件在其上创建角色绑定,以分配角色。如需在组织级层授予权限或接收对资源的访问权限,请参阅授予和撤消访问权限。
监控资源
下表详细介绍了为监控资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 |
|---|---|---|
| 信息中心 PA 创建者 | dashboard-pa-creator |
创建 Dashboard 自定义资源。 |
| 信息中心 PA 编辑器 | dashboard-pa-editor |
修改或修改 Dashboard 自定义资源。 |
| 信息中心 PA 查看器 | dashboard-pa-viewer |
查看 Dashboard 自定义资源。 |
| MonitoringRule PA Creator | monitoringrule-pa-creator |
创建 MonitoringRule 自定义资源。 |
| MonitoringRule PA 编辑器 | monitoringrule-pa-editor |
修改或修改 MonitoringRule 自定义资源。 |
| MonitoringRule PA 查看器 | monitoringrule-pa-viewer |
查看 MonitoringRule 自定义资源。 |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
创建 MonitoringTarget 自定义资源。 |
| MonitoringTarget PA Editor | monitoringtarget-pa-editor |
修改或修改 MonitoringTarget 自定义资源。 |
| MonitoringTarget PA 查看器 | monitoringtarget-pa-viewer |
查看 MonitoringTarget 自定义资源。 |
| ObservabilityPipeline PA Creator | observabilitypipeline-pa-creator |
创建 ObservabilityPipeline 自定义资源。 |
| ObservabilityPipeline PA Editor | observabilitypipeline-pa-editor |
修改或修改 ObservabilityPipeline 自定义资源。 |
| ObservabilityPipeline PA Viewer | observabilitypipeline-pa-viewer |
查看 ObservabilityPipeline 自定义资源。 |
| 组织 Grafana 查看者 | organization-grafana-viewer |
在 Grafana 监控实例的信息中心上直观呈现组织相关可观测性数据。 |
日志记录资源
下表详细介绍了为日志记录资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 |
|---|---|---|
| LoggingRule PA Creator | loggingrule-pa-creator |
创建 LoggingRule 自定义资源。 |
| LoggingRule PA Editor | loggingrule-pa-editor |
修改或修改 LoggingRule 自定义资源。 |
| LoggingRule PA 查看器 | loggingrule-pa-viewer |
查看 LoggingRule 自定义资源。 |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
创建 LoggingTarget 自定义资源。 |
| LoggingTarget PA 编辑器 | loggingtarget-pa-editor |
修改或修改 LoggingTarget 自定义资源。 |
| LoggingTarget PA Viewer | loggingtarget-pa-viewer |
查看 LoggingTarget 自定义资源。 |
项目级层的预定义角色
向项目 IAM 管理员请求适当的权限,以便在项目中使用日志记录和监控服务。所有角色都必须绑定到您使用服务的项目命名空间。
如需向团队成员授予项目范围的资源访问权限,请使用全局 API 服务器的 kubeconfig 文件,通过在该服务器上创建角色绑定来分配角色。如需授予权限或接收对项目级资源的访问权限,请参阅授予和撤消访问权限。
监控资源
下表详细介绍了为监控资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 |
|---|---|---|
| ConfigMap 创建工具 | configmap-creator |
在项目命名空间中创建 ConfigMap 对象。 |
| 信息中心编辑器 | dashboard-editor |
修改项目命名空间中的 Dashboard 自定义资源。 |
| 信息中心查看器 | dashboard-viewer |
查看项目命名空间中的 Dashboard 自定义资源。 |
| MonitoringRule 编辑器 | monitoringrule-editor |
修改项目命名空间中的 MonitoringRule 自定义资源。 |
| MonitoringRule 查看器 | monitoringrule-viewer |
查看项目命名空间中的 MonitoringRule 自定义资源。 |
| MonitoringTarget 编辑器 | monitoringtarget-editor |
修改项目命名空间中的 MonitoringTarget 自定义资源。 |
| MonitoringTarget 查看器 | monitoringtarget-viewer |
查看项目命名空间中的 MonitoringTarget 自定义资源。 |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
修改项目命名空间中的 ObservabilityPipeline 自定义资源。 |
| ObservabilityPipeline Viewer | observabilitypipeline-viewer |
查看项目命名空间中的 ObservabilityPipeline 自定义资源。 |
| Project Cortex Alertmanager 编辑器 | project-cortex-alertmanager-editor |
修改项目命名空间中的 Cortex Alertmanager 实例。 |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
访问项目命名空间中的 Cortex Alertmanager 实例。 |
| Project Cortex Prometheus 查看器 | project-cortex-prometheus-viewer |
访问项目命名空间中的 Cortex Prometheus 实例。 |
| Project Grafana Viewer | project-grafana-viewer |
在 Grafana 监控实例的信息中心内直观呈现与项目相关的可观测性数据。 |
日志记录资源
下表详细介绍了为日志记录资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 |
|---|---|---|
| Audit Logs Platform Restore Bucket Creator | audit-logs-platform-restore-bucket-creator |
创建备份存储分区以恢复平台审核日志。 |
| Audit Logs Platform Bucket Viewer | audit-logs-platform-bucket-viewer |
查看平台审核日志的备份存储分区。 |
| LoggingRule Creator | loggingrule-creator |
在项目命名空间中创建 LoggingRule 自定义资源。 |
| LoggingRule 编辑器 | loggingrule-editor |
修改项目命名空间中的 LoggingRule 自定义资源。 |
| LoggingRule 查看者 | loggingrule-viewer |
查看项目命名空间中的 LoggingRule 自定义资源。 |
| LoggingTarget 创建者 | loggingtarget-creator |
在项目命名空间中创建 LoggingTarget 自定义资源。 |
| LoggingTarget 编辑器 | loggingtarget-editor |
修改项目命名空间中的 LoggingTarget 自定义资源。 |
| LoggingTarget 查看器 | loggingtarget-viewer |
查看项目命名空间中的 LoggingTarget 自定义资源。 |
| 日志查询 API 查询器 | log-query-api-querier |
访问 Log Query API 以查询日志。 |
| SIEM Export Org Creator | siemexport-org-creator |
在项目命名空间中创建 SIEMOrgForwarder 自定义资源。 |
| SIEM Export Org Editor | siemexport-org-editor |
修改项目命名空间中的 SIEMOrgForwarder 自定义资源。 |
| SIEM Export Org Viewer | siemexport-org-viewer |
查看项目命名空间中的 SIEMOrgForwarder 自定义资源。 |