El dispositivo aislado de Google Distributed Cloud (GDC) ofrece Identity and Access Management (IAM) para brindar acceso detallado a recursos específicos del dispositivo aislado de GDC y evitar el acceso no deseado a otros recursos. IAM opera según el principio de seguridad de privilegio mínimo y controla quién puede acceder a recursos determinados con roles y permisos de IAM.
Un rol es una colección de permisos específicos asignados a ciertas acciones en recursos y asignados a sujetos individuales, como usuarios, grupos de usuarios o cuentas de servicio. Por lo tanto, debes tener los roles y permisos de IAM adecuados para usar los servicios de supervisión y registro en el dispositivo aislado de GDC.
Permisos de IAM para el operador de infraestructura
IAM en el dispositivo aislado de GDC ofrece tipos de roles predefinidos que puedes obtener en los siguientes niveles de acceso:
- Servidor de la API de Management: Otorga a un sujeto permisos para administrar recursos personalizados a nivel del proyecto en el espacio de nombres del proyecto del servidor de la API de Management en el que desea usar los servicios de supervisión y registro.
- Clúster de administrador raíz: Otorga a un sujeto permisos para administrar recursos de infraestructura en el clúster de administrador raíz.
Si no puedes acceder a un servicio de supervisión o registro, o usarlo, comunícate con tu administrador para que te otorgue los roles necesarios. Solicita los permisos adecuados a tu administrador de seguridad.
En esta página, se describen todos los roles y sus permisos respectivos para usar los servicios de supervisión y registro.
Roles predefinidos a nivel del proyecto
Solicita los permisos correspondientes a tu administrador de seguridad para configurar el registro y la supervisión en el espacio de nombres del proyecto del servidor de la API de Management en el que deseas administrar el ciclo de vida de los servicios de observabilidad.
Todos los roles deben vincularse al espacio de nombres del proyecto del servidor de la API de Management en el que usas el servicio. Para otorgar acceso a los recursos a los miembros del equipo, asigna roles creando vinculaciones de roles en el servidor de la API de Management con su archivo kubeconfig. Para otorgar permisos o recibir acceso a roles, consulta Cómo otorgar y revocar el acceso.
Para obtener más información, consulta Descripciones de roles predefinidos.
Supervisar recursos
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para supervisar recursos:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| ConfigMap Creator | configmap-creator |
Crea objetos ConfigMap en el espacio de nombres del proyecto. |
Role |
| Creador de IO del panel | dashboard-io-creator |
Crea recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de E/S del panel | dashboard-io-editor |
Editar o modificar recursos personalizados de Dashboard en el espacio de nombres del proyecto |
ClusterRole |
| Visualizador de E/S del panel | dashboard-io-viewer |
Visualiza los recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de IO de MonitoringRule | monitoringrule-io-creator |
Crea recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de IO de MonitoringRule | monitoringrule-io-editor |
Editar o modificar recursos personalizados de MonitoringRule en el espacio de nombres del proyecto |
ClusterRole |
| Visualizador de IO de MonitoringRule | monitoringrule-io-viewer |
Visualiza los recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Crea recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de IO de MonitoringTarget | monitoringtarget-io-editor |
Editar o modificar recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto |
ClusterRole |
| Visualizador de IO de MonitoringTarget | monitoringtarget-io-viewer |
Visualiza los recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
Crea recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de ObservabilityPipeline IO | observabilitypipeline-io-editor |
Editar o modificar recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto |
ClusterRole |
| Visualizador de E/S de ObservabilityPipeline | observabilitypipeline-io-viewer |
Visualiza los recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Visualizador de Alertmanager de Project Cortex | project-cortex-alertmanager-viewer |
Accede a la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Visualizador de Prometheus de Project Cortex | project-cortex-prometheus-viewer |
Accede a la instancia de Prometheus de Cortex en el espacio de nombres del proyecto. | Role |
| Visualizador de Grafana del proyecto | project-grafana-viewer |
Visualiza los datos de observabilidad relacionados con el proyecto en los paneles de la instancia de supervisión de Grafana. | Role |
| Visualizador de ServiceLevelObjective | servicelevelobjective-viewer |
Visualiza los recursos personalizados de ServiceLevelObjective en el servidor de la API de Management. |
ClusterRole |
Recursos de registro
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de IO de AuditLoggingTarget | auditloggingtarget-io-creator |
Crea recursos personalizados de AuditLoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de E/S de AuditLoggingTarget | auditloggingtarget-io-editor |
Editar o modificar recursos personalizados de AuditLoggingTarget en el espacio de nombres del proyecto |
ClusterRole |
| Visualizador de IO de AuditLoggingTarget | auditloggingtarget-io-viewer |
Visualiza los recursos personalizados de AuditLoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de copias de seguridad y restablecimiento de registros de auditoría | audit-logs-backup-restore-creator |
Crea una configuración de trabajo de transferencia de copias de seguridad y restablece los registros de auditoría. | Role |
| Editor de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-editor |
Edita la configuración del trabajo de transferencia de copias de seguridad y restablece los registros de auditoría. | Role |
| Visualizador de buckets de infraestructura de registros de auditoría | audit-logs-infra-bucket-viewer |
Visualiza los buckets de copias de seguridad de los registros de auditoría de la infraestructura. | Role |
| Creador de E/S de FluentBit | fluentbit-io-creator |
Crea recursos personalizados de FluentBit en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de IO de FluentBit | fluentbit-io-editor |
Editar o modificar recursos personalizados de FluentBit en el espacio de nombres del proyecto |
ClusterRole |
| Visualizador de E/S de FluentBit | fluentbit-io-viewer |
Visualiza los recursos personalizados de FluentBit en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de IO de LogCollector | logcollector-io-creator |
Crea recursos personalizados de LogCollector en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de E/S de LogCollector | logcollector-io-editor |
Editar o modificar recursos personalizados de LogCollector en el espacio de nombres del proyecto |
ClusterRole |
| Visor de IO de LogCollector | logcollector-io-viewer |
Visualiza los recursos personalizados de LogCollector en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de IO de LoggingRule | loggingrule-io-creator |
Crea recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de IO de LoggingRule | loggingrule-io-editor |
Editar o modificar recursos personalizados de LoggingRule en el espacio de nombres del proyecto |
ClusterRole |
| Visor de IO de LoggingRule | loggingrule-io-viewer |
Visualiza los recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de IO de LoggingTarget | loggingtarget-io-creator |
Crea recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de E/S de LoggingTarget | loggingtarget-io-editor |
Editar o modificar recursos personalizados de LoggingTarget en el espacio de nombres del proyecto |
ClusterRole |
| Visualizador de IO de LoggingTarget | loggingtarget-io-viewer |
Visualiza los recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
Roles predefinidos en el clúster de administrador raíz
Solicita los permisos correspondientes a tu administrador de seguridad para usar los servicios de registro y supervisión en el clúster de administrador raíz.
Para otorgar acceso a los recursos a los miembros del equipo, asigna roles creando vinculaciones de roles en el clúster de administrador raíz con su archivo kubeconfig. Para otorgar permisos o recibir acceso a roles, consulta Cómo otorgar y revocar el acceso.
Para obtener más información, consulta Descripciones de roles predefinidos.
Supervisar recursos
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para supervisar recursos:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de paneles | dashboard-creator |
Crea recursos personalizados de Dashboard en el clúster de administrador raíz. |
ClusterRole |
| Editor de paneles | dashboard-editor |
Editar o modificar recursos personalizados Dashboard en el clúster de administrador raíz |
ClusterRole |
| Visor de paneles | dashboard-viewer |
Visualiza los recursos personalizados Dashboard en el clúster de administrador raíz. |
ClusterRole |
| Visualizador de Grafana | grafana-viewer |
Visualiza los datos de observabilidad en los paneles de la instancia de supervisión de Grafana en el clúster de administrador raíz. | ClusterRole |
| Creador de MonitoringRule | monitoringrule-creator |
Crea recursos personalizados de MonitoringRule en el clúster de administrador raíz. |
ClusterRole |
| Editor de MonitoringRule | monitoringrule-editor |
Editar o modificar recursos personalizados MonitoringRule en el clúster de administrador raíz |
ClusterRole |
| Visualizador de MonitoringRule | monitoringrule-viewer |
Visualiza los recursos personalizados MonitoringRule en el clúster de administrador raíz. |
ClusterRole |
| Creador de MonitoringTarget | monitoringtarget-creator |
Crea recursos personalizados de MonitoringTarget en el clúster de administrador raíz. |
ClusterRole |
| Editor de MonitoringTarget | monitoringtarget-editor |
Editar o modificar recursos personalizados MonitoringTarget en el clúster de administrador raíz |
ClusterRole |
| Visualizador de MonitoringTarget | monitoringtarget-viewer |
Visualiza los recursos personalizados MonitoringTarget en el clúster de administrador raíz. |
ClusterRole |
| Creador de ObservabilityPipeline | observabilitypipeline-creator |
Crea recursos personalizados de ObservabilityPipeline en el clúster de administrador raíz. |
ClusterRole |
| Editor de ObservabilityPipeline | observabilitypipeline-editor |
Editar o modificar recursos personalizados ObservabilityPipeline en el clúster de administrador raíz |
ClusterRole |
| Visualizador de ObservabilityPipeline | observabilitypipeline-viewer |
Visualiza los recursos personalizados ObservabilityPipeline en el clúster de administrador raíz. |
ClusterRole |
| Editor raíz de Cortex Alertmanager | root-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el clúster de administrador raíz. | Role |
| Visualizador de Root Cortex Alertmanager | root-cortex-alertmanager-viewer |
Accede a la instancia de Cortex Alertmanager en el clúster de administrador raíz. | Role |
| Visor de Prometheus de Cortex raíz | root-cortex-prometheus-viewer |
Accede a la instancia de Cortex Prometheus en el clúster de administrador raíz. | Role |
| Visualizador de ServiceLevelObjective | servicelevelobjective-viewer |
Visualiza los recursos personalizados ServiceLevelObjective en el clúster de administrador raíz. |
ClusterRole |
Recursos de registro
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de AuditLoggingTarget | auditloggingtarget-creator |
Crea recursos personalizados de AuditLoggingTarget en el clúster de administrador raíz. |
ClusterRole |
| Editor de AuditLoggingTarget | auditloggingtarget-editor |
Editar o modificar recursos personalizados AuditLoggingTarget en el clúster de administrador raíz |
ClusterRole |
| Visualizador de AuditLoggingTarget | auditloggingtarget-viewer |
Visualiza los recursos personalizados AuditLoggingTarget en el clúster de administrador raíz. |
ClusterRole |
| Creador de copias de seguridad y restablecimiento de registros de auditoría | audit-logs-backup-restore-creator |
Crea una configuración de trabajo de transferencia de copias de seguridad y restablece los registros de auditoría. | Role |
| Editor de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-editor |
Edita la configuración del trabajo de transferencia de copias de seguridad y restablece los registros de auditoría. | Role |
| Visualizador de buckets de infraestructura de registros de auditoría | audit-logs-infra-bucket-viewer |
Visualiza los buckets de copias de seguridad de los registros de auditoría de la infraestructura. | Role |
| Creador de FluentBit | fluentbit-creator |
Crea recursos personalizados de FluentBit en el clúster de administrador raíz. |
ClusterRole |
| Editor de FluentBit | fluentbit-editor |
Editar o modificar recursos personalizados FluentBit en el clúster de administrador raíz |
ClusterRole |
| Visualizador de FluentBit | fluentbit-viewer |
Visualiza los recursos personalizados FluentBit en el clúster de administrador raíz. |
ClusterRole |
| LogCollector Creator | logcollector-creator |
Crea recursos personalizados de LogCollector en el clúster de administrador raíz. |
ClusterRole |
| Editor de LogCollector | logcollector-editor |
Editar o modificar recursos personalizados LogCollector en el clúster de administrador raíz |
ClusterRole |
| Visor de LogCollector | logcollector-viewer |
Visualiza los recursos personalizados LogCollector en el clúster de administrador raíz. |
ClusterRole |
| Creador de LoggingRule | loggingrule-creator |
Crea recursos personalizados de LoggingRule en el clúster de administrador raíz. |
ClusterRole |
| Editor de LoggingRule | loggingrule-editor |
Editar o modificar recursos personalizados LoggingRule en el clúster de administrador raíz |
ClusterRole |
| Visualizador de LoggingRule | loggingrule-viewer |
Visualiza los recursos personalizados LoggingRule en el clúster de administrador raíz. |
ClusterRole |
Permisos de IAM para el administrador de la plataforma (PA) y el operador de la aplicación
IAM en el dispositivo aislado de GDC ofrece los siguientes dos tipos de roles predefinidos de PA/AO, según el nivel de acceso que necesites:
ClusterRole: Otorga permisos a un sujeto a nivel de la organización. Los roles a nivel de la organización te permiten implementar recursos personalizados en todos los espacios de nombres de proyectos del servidor de la API de Management y habilitar servicios en todos los proyectos de tu organización.Role: Propaga roles a los espacios de nombres de Kubernetes para otorgar permisos a un sujeto a nivel del proyecto. Los roles a nivel del proyecto te permiten implementar recursos personalizados en el espacio de nombres del proyecto del servidor de la API de Management y habilitar servicios solo en el espacio de nombres de tu proyecto.
Si no puedes acceder a un servicio de supervisión o registro, o usarlo, comunícate con tu administrador para que te otorgue los roles necesarios. Solicita los permisos adecuados al administrador de IAM del proyecto para un proyecto determinado. Si necesitas permisos a nivel de la organización, pídele ayuda al administrador de IAM de la organización.
En esta página, se describen todos los roles y sus permisos respectivos para usar los servicios de supervisión y registro.
Roles predefinidos a nivel del proyecto
Solicita los permisos adecuados al administrador de IAM del proyecto para usar los servicios de registro y supervisión en un proyecto. Todos los roles deben vincularse al espacio de nombres del proyecto en el que usas el servicio.
Para otorgar permisos o recibir acceso a los recursos a nivel del proyecto, consulta Cómo otorgar acceso a los recursos del proyecto.
Supervisar recursos
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para supervisar recursos:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| ConfigMap Creator | configmap-creator |
Crea objetos ConfigMap en el espacio de nombres del proyecto. |
Role |
| Editor de paneles | dashboard-editor |
Editar o modificar recursos personalizados de Dashboard en el espacio de nombres del proyecto |
Role |
| Visor de paneles | dashboard-viewer |
Visualiza los recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
Role |
| Editor de MonitoringRule | monitoringrule-editor |
Editar o modificar recursos personalizados de MonitoringRule en el espacio de nombres del proyecto |
Role |
| Visualizador de MonitoringRule | monitoringrule-viewer |
Visualiza los recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
Role |
| Editor de MonitoringTarget | monitoringtarget-editor |
Editar o modificar recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto |
Role |
| Visualizador de MonitoringTarget | monitoringtarget-viewer |
Visualiza los recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
Role |
| Editor de ObservabilityPipeline | observabilitypipeline-editor |
Editar o modificar recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto |
Role |
| Visualizador de ObservabilityPipeline | observabilitypipeline-viewer |
Visualiza los recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
Role |
| Editor de Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Visualizador de Alertmanager de Project Cortex | project-cortex-alertmanager-viewer |
Accede a la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Visualizador de Prometheus de Project Cortex | project-cortex-prometheus-viewer |
Accede a la instancia de Prometheus de Cortex en el espacio de nombres del proyecto. | Role |
| Visualizador de Grafana del proyecto | project-grafana-viewer |
Visualiza los datos de observabilidad relacionados con el proyecto en los paneles de la instancia de supervisión de Grafana. | Role |
Recursos de registro
En la siguiente tabla, se proporcionan detalles sobre los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre del rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de buckets de restauración de la plataforma de registros de auditoría | audit-logs-platform-restore-bucket-creator |
Crea buckets de copias de seguridad para restablecer los registros de auditoría de la plataforma. | Role |
| Visualizador de buckets de la plataforma de registros de auditoría | audit-logs-platform-bucket-viewer |
Visualiza los buckets de copias de seguridad de los registros de auditoría de la plataforma. | Role |
| Creador de LoggingRule | loggingrule-creator |
Crea recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
Role |
| Editor de LoggingRule | loggingrule-editor |
Editar o modificar recursos personalizados de LoggingRule en el espacio de nombres del proyecto |
Role |
| Visualizador de LoggingRule | loggingrule-viewer |
Visualiza los recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
Role |
| LoggingTarget.Creator | loggingtarget-creator |
Crea recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
Role |
| Editor de LoggingTarget | loggingtarget-editor |
Editar o modificar recursos personalizados de LoggingTarget en el espacio de nombres del proyecto |
Role |
| Visor de LoggingTarget | loggingtarget-viewer |
Visualiza los recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
Role |