El dispositivo air-gapped de Google Distributed Cloud (GDC) ofrece gestión de identidades y accesos (IAM) para permitir el acceso granular a recursos específicos del dispositivo air-gapped de GDC y evitar el acceso no deseado a otros recursos. IAM se basa en el principio de seguridad del privilegio mínimo y controla quién puede acceder a determinados recursos mediante roles y permisos de IAM.
Un rol es un conjunto de permisos específicos asignados a determinadas acciones en recursos y asignados a sujetos concretos, como usuarios, grupos de usuarios o cuentas de servicio. Por lo tanto, debes tener los roles y permisos de gestión de identidades y accesos adecuados para usar los servicios de monitorización y registro en el dispositivo aislado de GDC.
Permisos de gestión de identidades y accesos para el operador de infraestructura
La gestión de identidades y accesos en el dispositivo aislado de GDC ofrece tipos de roles predefinidos que puedes obtener en los siguientes niveles de acceso:
- Servidor de la API Management: concede a un sujeto permisos para gestionar recursos personalizados a nivel de proyecto en el espacio de nombres del proyecto del servidor de la API Management en el que quiera usar los servicios de registro y monitorización.
- Clúster de administrador raíz: concede a un sujeto permisos para gestionar recursos de infraestructura en el clúster de administrador raíz.
Si no puedes acceder a un servicio de monitorización o registro, o usarlo, ponte en contacto con tu administrador para que te conceda los roles necesarios. Solicita los permisos adecuados a tu administrador de seguridad.
En esta página se describen todos los roles y sus respectivos permisos para usar los servicios de monitorización y registro.
Roles predefinidos a nivel de proyecto
Solicita los permisos adecuados a tu administrador de seguridad para configurar el registro y la monitorización en el espacio de nombres del proyecto del servidor de la API Management donde quieras gestionar el ciclo de vida de los servicios de observabilidad.
Todos los roles deben enlazarse al espacio de nombres del proyecto del servidor de la API Management en el que estés usando el servicio. Para conceder acceso a los recursos a los miembros del equipo, asigna roles creando enlaces de roles en el servidor de la API Management con su archivo kubeconfig. Para conceder permisos o recibir acceso a un rol, consulta Conceder y revocar acceso.
Para obtener más información, consulta las descripciones de los roles predefinidos.
Recursos de Monitoring
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para monitorizar recursos:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de ConfigMap | configmap-creator |
Crea objetos ConfigMap en el espacio de nombres del proyecto. |
Role |
| Creador de IO de panel de control | dashboard-io-creator |
Crea recursos personalizados Dashboard en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de IO de panel de control | dashboard-io-editor |
Editar o modificar recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de IO de panel de control | dashboard-io-viewer |
Ver los recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de MonitoringRule IO | monitoringrule-io-creator |
Crea recursos personalizados MonitoringRule en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de MonitoringRule IO | monitoringrule-io-editor |
Editar o modificar recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de MonitoringRule IO | monitoringrule-io-viewer |
Ver los recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Crea recursos personalizados MonitoringTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de MonitoringTarget IO | monitoringtarget-io-editor |
Editar o modificar recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de MonitoringTarget IO | monitoringtarget-io-viewer |
Ver los recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
Crea recursos personalizados ObservabilityPipeline en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de ObservabilityPipeline IO | observabilitypipeline-io-editor |
Editar o modificar recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de ObservabilityPipeline IO | observabilitypipeline-io-viewer |
Ver los recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Lector de Alertmanager de Project Cortex | project-cortex-alertmanager-viewer |
Accede a la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Visor de Prometheus de Project Cortex | project-cortex-prometheus-viewer |
Accede a la instancia de Cortex Prometheus en el espacio de nombres del proyecto. | Role |
| Lector de Grafana de proyectos | project-grafana-viewer |
Visualiza los datos de observabilidad relacionados con el proyecto en los paneles de control de la instancia de monitorización de Grafana. | Role |
| Lector de ServiceLevelObjective | servicelevelobjective-viewer |
Visualiza los recursos personalizados de ServiceLevelObjective en el servidor de la API Management. |
ClusterRole |
Recursos de registro
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
Crea recursos personalizados AuditLoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de IO de AuditLoggingTarget | auditloggingtarget-io-editor |
Editar o modificar recursos personalizados de AuditLoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de IO de AuditLoggingTarget | auditloggingtarget-io-viewer |
Ver los recursos personalizados de AuditLoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-creator |
Crea una configuración de tarea de transferencia de copia de seguridad y restaura los registros de auditoría. | Role |
| Editor de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-editor |
Editar la configuración de la tarea de transferencia de copias de seguridad y restaurar los registros de auditoría. | Role |
| Lector de segmentos de Infra de registros de auditoría | audit-logs-infra-bucket-viewer |
Ver los segmentos de copia de seguridad de los registros de auditoría de la infraestructura. | Role |
| Creador de FluentBit IO | fluentbit-io-creator |
Crea recursos personalizados FluentBit en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de E/S de FluentBit | fluentbit-io-editor |
Editar o modificar recursos personalizados de FluentBit en el espacio de nombres del proyecto. |
ClusterRole |
| Visor de E/S de FluentBit | fluentbit-io-viewer |
Ver los recursos personalizados de FluentBit en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de LogCollector IO | logcollector-io-creator |
Crea recursos personalizados LogCollector en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de LogCollector IO | logcollector-io-editor |
Editar o modificar recursos personalizados de LogCollector en el espacio de nombres del proyecto. |
ClusterRole |
| Visualizador de pedidos de inserción de LogCollector | logcollector-io-viewer |
Ver los recursos personalizados de LogCollector en el espacio de nombres del proyecto. |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
Crea recursos personalizados LoggingRule en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de LoggingRule IO | loggingrule-io-editor |
Editar o modificar recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
ClusterRole |
| LoggingRule IO Viewer | loggingrule-io-viewer |
Ver los recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
Crea recursos personalizados LoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de LoggingTarget IO | loggingtarget-io-editor |
Editar o modificar recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Visualizador de LoggingTarget IO | loggingtarget-io-viewer |
Ver los recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
Roles predefinidos en el clúster de administrador raíz
Solicita los permisos adecuados a tu administrador de seguridad para usar los servicios de registro y monitorización en el clúster de administrador raíz.
Para conceder acceso a los recursos a los miembros del equipo, asigna roles creando enlaces de rol en el clúster de administrador raíz mediante su archivo kubeconfig. Para conceder permisos u obtener acceso a un rol, consulta Conceder y revocar acceso.
Para obtener más información, consulta las descripciones de los roles predefinidos.
Recursos de Monitoring
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para monitorizar recursos:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de paneles | dashboard-creator |
Crea Dashboard recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de paneles de control | dashboard-editor |
Edita o modifica Dashboard recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Lector del panel de control | dashboard-viewer |
Ver los Dashboard recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Visor de Grafana | grafana-viewer |
Visualiza los datos de observabilidad en los paneles de control de la instancia de monitorización de Grafana en el clúster de administrador raíz. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
Crea MonitoringRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de MonitoringRule | monitoringrule-editor |
Edita o modifica MonitoringRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| MonitoringRule Viewer | monitoringrule-viewer |
Ver los MonitoringRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
Crea MonitoringTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de MonitoringTarget | monitoringtarget-editor |
Edita o modifica MonitoringTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Lector de MonitoringTarget | monitoringtarget-viewer |
Ver los MonitoringTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Creador de ObservabilityPipeline | observabilitypipeline-creator |
Crea ObservabilityPipeline recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de ObservabilityPipeline | observabilitypipeline-editor |
Edita o modifica ObservabilityPipeline recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Lector de ObservabilityPipeline | observabilitypipeline-viewer |
Ver los ObservabilityPipeline recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de Root Cortex Alertmanager | root-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el clúster de administrador raíz. | Role |
| Lector de alertas de Root Cortex | root-cortex-alertmanager-viewer |
Accede a la instancia de Alertmanager de Cortex en el clúster de administrador raíz. | Role |
| Visor de Prometheus de Cortex raíz | root-cortex-prometheus-viewer |
Accede a la instancia de Cortex Prometheus en el clúster de administración raíz. | Role |
| Lector de ServiceLevelObjective | servicelevelobjective-viewer |
Visualiza los ServiceLevelObjective recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
Recursos de registro
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| AuditLoggingTarget Creator | auditloggingtarget-creator |
Crea AuditLoggingTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de AuditLoggingTarget | auditloggingtarget-editor |
Edita o modifica AuditLoggingTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Lector de AuditLoggingTarget | auditloggingtarget-viewer |
Ver los AuditLoggingTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Creador de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-creator |
Crea una configuración de tarea de transferencia de copia de seguridad y restaura los registros de auditoría. | Role |
| Editor de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-editor |
Editar la configuración de la tarea de transferencia de copias de seguridad y restaurar los registros de auditoría. | Role |
| Lector de segmentos de Infra de registros de auditoría | audit-logs-infra-bucket-viewer |
Ver los segmentos de copia de seguridad de los registros de auditoría de la infraestructura. | Role |
| Creador de FluentBit | fluentbit-creator |
Crea FluentBit recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de FluentBit | fluentbit-editor |
Edita o modifica FluentBit recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Visor de FluentBit | fluentbit-viewer |
Ver los FluentBit recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Creador de LogCollector | logcollector-creator |
Crea LogCollector recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de LogCollector | logcollector-editor |
Edita o modifica LogCollector recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Visualizador de LogCollector | logcollector-viewer |
Ver los LogCollector recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Crea LoggingRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de LoggingRule | loggingrule-editor |
Edita o modifica LoggingRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Visualizador de LoggingRule | loggingrule-viewer |
Ver los LoggingRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
Permisos de gestión de identidades y accesos para administrador de plataforma y operador de aplicaciones
IAM en el dispositivo aislado de GDC ofrece los dos tipos de roles PA/AO predefinidos siguientes, en función del nivel de acceso que necesites:
ClusterRole: otorga permisos a un sujeto a nivel de organización. Los roles a nivel de organización te permiten desplegar recursos personalizados en todos los espacios de nombres de proyectos del servidor de la API Management y habilitar servicios en todos los proyectos de tu organización.Role: concede permisos a un sujeto a nivel de proyecto propagando roles a espacios de nombres de Kubernetes. Los roles a nivel de proyecto te permiten desplegar recursos personalizados en el espacio de nombres del proyecto del servidor de la API Management y habilitar servicios solo en el espacio de nombres de tu proyecto.
Si no puedes acceder a un servicio de monitorización o registro, o usarlo, ponte en contacto con tu administrador para que te conceda los roles necesarios. Solicita los permisos adecuados a tu administrador de gestión de identidades y accesos del proyecto en cuestión. Si necesitas permisos a nivel de organización, pídeselos al administrador de gestión de identidades y accesos de tu organización.
En esta página se describen todos los roles y sus respectivos permisos para usar los servicios de monitorización y registro.
Roles predefinidos a nivel de proyecto
Solicita los permisos adecuados al administrador de gestión de identidades y accesos de tu proyecto para usar los servicios de registro y monitorización en un proyecto. Todos los roles deben estar vinculados al espacio de nombres del proyecto en el que estés usando el servicio.
Para conceder permisos o recibir acceso de rol a recursos a nivel de proyecto, consulta Conceder acceso a recursos de proyectos.
Recursos de Monitoring
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para monitorizar recursos:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de ConfigMap | configmap-creator |
Crea objetos ConfigMap en el espacio de nombres del proyecto. |
Role |
| Editor de paneles de control | dashboard-editor |
Editar o modificar recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
Role |
| Lector del panel de control | dashboard-viewer |
Ver los recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
Role |
| Editor de MonitoringRule | monitoringrule-editor |
Editar o modificar recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
Role |
| MonitoringRule Viewer | monitoringrule-viewer |
Ver los recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
Role |
| Editor de MonitoringTarget | monitoringtarget-editor |
Editar o modificar recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
Role |
| Lector de MonitoringTarget | monitoringtarget-viewer |
Ver los recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
Role |
| Editor de ObservabilityPipeline | observabilitypipeline-editor |
Editar o modificar recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
Role |
| Lector de ObservabilityPipeline | observabilitypipeline-viewer |
Ver los recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
Role |
| Editor de Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Lector de Alertmanager de Project Cortex | project-cortex-alertmanager-viewer |
Accede a la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Visor de Prometheus de Project Cortex | project-cortex-prometheus-viewer |
Accede a la instancia de Cortex Prometheus en el espacio de nombres del proyecto. | Role |
| Lector de Grafana de proyectos | project-grafana-viewer |
Visualiza los datos de observabilidad relacionados con el proyecto en los paneles de control de la instancia de monitorización de Grafana. | Role |
Recursos de registro
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de segmentos de restauración de la plataforma de registros de auditoría | audit-logs-platform-restore-bucket-creator |
Crea segmentos de copia de seguridad para restaurar los registros de auditoría de la plataforma. | Role |
| Lector de segmentos de plataforma de registros de auditoría | audit-logs-platform-bucket-viewer |
Ver las copias de seguridad de los registros de auditoría de la plataforma. | Role |
| LoggingRule Creator | loggingrule-creator |
Crea recursos personalizados LoggingRule en el espacio de nombres del proyecto. |
Role |
| Editor de LoggingRule | loggingrule-editor |
Editar o modificar recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
Role |
| Visualizador de LoggingRule | loggingrule-viewer |
Ver los recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
Role |
| Creador de LoggingTarget | loggingtarget-creator |
Crea recursos personalizados LoggingTarget en el espacio de nombres del proyecto. |
Role |
| Editor de LoggingTarget | loggingtarget-editor |
Editar o modificar recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
Role |
| Lector de LoggingTarget | loggingtarget-viewer |
Ver los recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
Role |