Google Distributed Cloud (GDC) air-gapped 提供身分與存取權管理 (IAM) 功能,可讓您詳細劃分特定 Distributed Cloud 資源的存取權限,同時避免其他資源遭到未經授權者擅自存取。IAM 遵循最低權限的安全性原則,並使用 IAM 角色和權限,控管哪些使用者可以存取特定資源。
角色是一組特定權限,會對應至資源的特定動作,並指派給個別主體,例如使用者、使用者群組或服務帳戶。因此,您必須具備適當的 IAM 角色和權限,才能在 Distributed Cloud 上使用監控和記錄服務。
Distributed Cloud 的 IAM 提供下列權限存取層級:
- 機構層級角色:在機構層級授予主體權限,即可在全域 API 伺服器的所有專案命名空間中部署自訂資源,並在整個機構的所有專案中啟用服務。
- 專案層級角色:在專案層級授予主體權限,即可將自訂資源部署到全域 API 伺服器的專案命名空間,並僅在專案命名空間中啟用服務。
如果無法存取或使用監控或記錄服務,請與管理員聯絡,要求授予必要角色。向專案 IAM 管理員要求特定專案的適當權限。如需機構層級的權限,請洽詢機構 IAM 管理員。
本頁面說明使用監控和記錄服務的所有角色及其各自的權限。
機構層級的預先定義角色
向機構 IAM 管理員要求適當權限,以便在機構中設定記錄和監控功能,並管理使用可觀測性服務的專案生命週期。
如要授予團隊成員全機構資源存取權,請使用全域 API 伺服器的 kubeconfig 檔案,在該伺服器上建立角色繫結,然後指派角色。如要在機構層級授予資源權限或取得角色存取權,請參閱「授予及撤銷存取權」。
監控資源
下表詳細列出各個預先定義角色在監控資源時的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 |
|---|---|---|
| 資訊主頁 PA 建立者 | dashboard-pa-creator |
建立Dashboard自訂資源。 |
| 資訊主頁 PA 編輯者 | dashboard-pa-editor |
編輯或修改 Dashboard 自訂資源。 |
| 資訊主頁 PA 檢視者 | dashboard-pa-viewer |
查看Dashboard自訂資源。 |
| MonitoringRule PA Creator | monitoringrule-pa-creator |
建立MonitoringRule自訂資源。 |
| MonitoringRule PA 編輯者 | monitoringrule-pa-editor |
編輯或修改 MonitoringRule 自訂資源。 |
| MonitoringRule PA 檢視者 | monitoringrule-pa-viewer |
查看MonitoringRule自訂資源。 |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
建立MonitoringTarget自訂資源。 |
| MonitoringTarget PA 編輯者 | monitoringtarget-pa-editor |
編輯或修改 MonitoringTarget 自訂資源。 |
| MonitoringTarget PA 檢視者 | monitoringtarget-pa-viewer |
查看MonitoringTarget自訂資源。 |
| ObservabilityPipeline PA Creator | observabilitypipeline-pa-creator |
建立ObservabilityPipeline自訂資源。 |
| ObservabilityPipeline PA 編輯者 | observabilitypipeline-pa-editor |
編輯或修改 ObservabilityPipeline 自訂資源。 |
| ObservabilityPipeline PA 檢視者 | observabilitypipeline-pa-viewer |
查看ObservabilityPipeline自訂資源。 |
| 機構 Grafana 檢視者 | organization-grafana-viewer |
在 Grafana 監控執行個體的資訊主頁上,以圖表呈現與機構相關的觀測資料。 |
記錄資源
下表詳細列出指派給記錄資源各預先定義角色的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 |
|---|---|---|
| LoggingRule PA Creator | loggingrule-pa-creator |
建立LoggingRule自訂資源。 |
| LoggingRule PA Editor | loggingrule-pa-editor |
編輯或修改 LoggingRule 自訂資源。 |
| LoggingRule PA Viewer | loggingrule-pa-viewer |
查看LoggingRule自訂資源。 |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
建立LoggingTarget自訂資源。 |
| LoggingTarget PA 編輯者 | loggingtarget-pa-editor |
編輯或修改 LoggingTarget 自訂資源。 |
| LoggingTarget PA 檢視器 | loggingtarget-pa-viewer |
查看LoggingTarget自訂資源。 |
專案層級的預先定義角色
向專案 IAM 管理員要求適當的權限,以便在專案中使用記錄和監控服務。所有角色都必須繫結至您使用服務的專案命名空間。
如要授予團隊成員專案層級的資源存取權,請使用 kubeconfig 檔案,在全域 API 伺服器上建立角色繫結,然後指派角色。如要授予權限或取得專案層級資源的角色存取權,請參閱「授予及撤銷存取權」。
監控資源
下表詳細列出各個預先定義角色在監控資源時的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 |
|---|---|---|
| ConfigMap 建立者 | configmap-creator |
在專案命名空間中建立 ConfigMap 物件。 |
| 資訊主頁編輯器 | dashboard-editor |
編輯或修改專案命名空間中的Dashboard自訂資源。 |
| 資訊主頁檢視者 | dashboard-viewer |
查看專案命名空間中的Dashboard自訂資源。 |
| MonitoringRule 編輯者 | monitoringrule-editor |
編輯或修改專案命名空間中的MonitoringRule自訂資源。 |
| MonitoringRule 檢視者 | monitoringrule-viewer |
查看專案命名空間中的MonitoringRule自訂資源。 |
| MonitoringTarget 編輯者 | monitoringtarget-editor |
編輯或修改專案命名空間中的MonitoringTarget自訂資源。 |
| MonitoringTarget Viewer | monitoringtarget-viewer |
查看專案命名空間中的MonitoringTarget自訂資源。 |
| ObservabilityPipeline 編輯者 | observabilitypipeline-editor |
編輯或修改專案命名空間中的ObservabilityPipeline自訂資源。 |
| ObservabilityPipeline 檢視者 | observabilitypipeline-viewer |
查看專案命名空間中的ObservabilityPipeline自訂資源。 |
| Project Cortex Alertmanager 編輯者 | project-cortex-alertmanager-editor |
在專案命名空間中編輯 Cortex Alertmanager 執行個體。 |
| Project Cortex Alertmanager 檢視者 | project-cortex-alertmanager-viewer |
存取專案命名空間中的 Cortex Alertmanager 執行個體。 |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
存取專案命名空間中的 Cortex Prometheus 執行個體。 |
| 專案 Grafana 檢視者 | project-grafana-viewer |
在 Grafana 監控執行個體的資訊主頁上,以視覺化方式呈現專案相關的可觀測性資料。 |
記錄資源
下表詳細列出指派給記錄資源各預先定義角色的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 |
|---|---|---|
| 稽核記錄平台還原值區建立者 | audit-logs-platform-restore-bucket-creator |
建立備份值區,還原平台稽核記錄。 |
| 稽核記錄平台 Bucket 檢視者 | audit-logs-platform-bucket-viewer |
查看平台稽核記錄的備份儲存空間。 |
| LoggingRule Creator | loggingrule-creator |
在專案命名空間中建立 LoggingRule 自訂資源。 |
| LoggingRule 編輯器 | loggingrule-editor |
編輯或修改專案命名空間中的LoggingRule自訂資源。 |
| LoggingRule Viewer | loggingrule-viewer |
查看專案命名空間中的LoggingRule自訂資源。 |
| LoggingTarget Creator | loggingtarget-creator |
在專案命名空間中建立 LoggingTarget 自訂資源。 |
| LoggingTarget 編輯器 | loggingtarget-editor |
編輯或修改專案命名空間中的LoggingTarget自訂資源。 |
| LoggingTarget 檢視器 | loggingtarget-viewer |
查看專案命名空間中的LoggingTarget自訂資源。 |
| Log Query API Querier | log-query-api-querier |
存取 Log Query API 來查詢記錄。 |
| SIEM 匯出機構建立者 | siemexport-org-creator |
在專案命名空間中建立 SIEMOrgForwarder 自訂資源。 |
| SIEM 匯出機構編輯者 | siemexport-org-editor |
編輯或修改專案命名空間中的SIEMOrgForwarder自訂資源。 |
| SIEM 匯出項目機構檢視者 | siemexport-org-viewer |
查看專案命名空間中的SIEMOrgForwarder自訂資源。 |