L'appliance isolée Google Distributed Cloud (GDC) propose Identity and Access Management (IAM) pour un accès précis à des ressources spécifiques de l'appliance isolée GDC et empêche tout accès indésirable à d'autres ressources. IAM fonctionne selon le principe de sécurité du moindre privilège et contrôle qui peut accéder à des ressources données à l'aide de rôles et d'autorisations IAM.
Un rôle est un ensemble d'autorisations spécifiques mappées à certaines actions sur les ressources et attribuées à des sujets individuels, tels que des utilisateurs, des groupes d'utilisateurs ou des comptes de service. Par conséquent, vous devez disposer des rôles et autorisations IAM appropriés pour utiliser les services de surveillance et de journalisation sur l'appliance GDC isolée.
Autorisations IAM pour l'opérateur d'infrastructure
IAM sur l'appliance GDC isolée propose des types de rôles prédéfinis que vous pouvez obtenir aux niveaux d'accès suivants :
- Serveur de l'API Management : accordez à un sujet les autorisations nécessaires pour gérer les ressources personnalisées au niveau du projet dans l'espace de noms du projet du serveur de l'API Management où il souhaite utiliser les services de journalisation et de surveillance.
- Cluster d'administrateur racine : accordez à un sujet les autorisations nécessaires pour gérer les ressources d'infrastructure dans le cluster d'administrateur racine.
Si vous ne parvenez pas à accéder à un service de surveillance ou de journalisation, ou à l'utiliser, contactez votre administrateur pour qu'il vous attribue les rôles nécessaires. Demandez les autorisations appropriées à votre administrateur de sécurité.
Cette page décrit tous les rôles et leurs autorisations respectives pour l'utilisation des services de surveillance et de journalisation.
Rôles prédéfinis au niveau du projet
Demandez les autorisations appropriées à votre Administrateur de sécurité pour configurer la journalisation et la surveillance dans l'espace de noms du projet du serveur de l'API Management où vous souhaitez gérer le cycle de vie des services d'observabilité.
Tous les rôles doivent être associés à l'espace de noms du projet du serveur de l'API Management où vous utilisez le service. Pour accorder aux membres de l'équipe l'accès aux ressources, attribuez des rôles en créant des liaisons de rôle sur le serveur de l'API Management à l'aide de son fichier kubeconfig. Pour accorder des autorisations ou recevoir un accès à un rôle, consultez Accorder et révoquer l'accès.
Pour en savoir plus, consultez Descriptions des rôles prédéfinis.
Ressources de surveillance
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de surveillance :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur de ConfigMap | configmap-creator |
Créez des objets ConfigMap dans l'espace de noms du projet. |
Role |
| Créateur de tableaux de bord IO | dashboard-io-creator |
Créez des ressources personnalisées Dashboard dans l'espace de noms du projet. |
ClusterRole |
| Éditeur Dashboard IO | dashboard-io-editor |
Modifiez les ressources personnalisées Dashboard dans l'espace de noms du projet. |
ClusterRole |
| Lecteur Dashboard IO | dashboard-io-viewer |
Affichez les ressources personnalisées Dashboard dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'IO MonitoringRule | monitoringrule-io-creator |
Créez des ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
ClusterRole |
| Éditeur MonitoringRule IO | monitoringrule-io-editor |
Modifiez les ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
ClusterRole |
| Lecteur IO MonitoringRule | monitoringrule-io-viewer |
Affichez les ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'IO MonitoringTarget | monitoringtarget-io-creator |
Créez des ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
ClusterRole |
| Éditeur IO MonitoringTarget | monitoringtarget-io-editor |
Modifiez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
ClusterRole |
| Lecteur MonitoringTarget IO | monitoringtarget-io-viewer |
Affichez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'E/S ObservabilityPipeline | observabilitypipeline-io-creator |
Créez des ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
ClusterRole |
| Éditeur ObservabilityPipeline IO | observabilitypipeline-io-editor |
Modifiez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
ClusterRole |
| Lecteur ObservabilityPipeline IO | observabilitypipeline-io-viewer |
Affichez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
ClusterRole |
| Éditeur Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Modifiez l'instance Cortex Alertmanager dans l'espace de noms du projet. | Role |
| Lecteur Alertmanager Project Cortex | project-cortex-alertmanager-viewer |
Accédez à l'instance Cortex Alertmanager dans l'espace de noms du projet. | Role |
| Lecteur Prometheus Project Cortex | project-cortex-prometheus-viewer |
Accédez à l'instance Prometheus de Cortex dans l'espace de noms du projet. | Role |
| Lecteur Grafana de projet | project-grafana-viewer |
Visualisez les données d'observabilité liées au projet dans les tableaux de bord de l'instance de surveillance Grafana. | Role |
| Lecteur ServiceLevelObjective | servicelevelobjective-viewer |
Visualisez les ressources personnalisées ServiceLevelObjective dans le serveur de l'API Management. |
ClusterRole |
Ressources de journalisation
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de journalisation :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur d'E/S AuditLoggingTarget | auditloggingtarget-io-creator |
Créez des ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Éditeur d'E/S AuditLoggingTarget | auditloggingtarget-io-editor |
Modifiez les ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Lecteur AuditLoggingTarget IO | auditloggingtarget-io-viewer |
Affichez les ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Créateur de sauvegarde et de restauration des journaux d'audit | audit-logs-backup-restore-creator |
Créez une configuration de job de transfert de sauvegarde et restaurez les journaux d'audit. | Role |
| Éditeur de sauvegarde et de restauration des journaux d'audit | audit-logs-backup-restore-editor |
Modifiez la configuration du job de transfert de sauvegarde et restaurez les journaux d'audit. | Role |
| Lecteur de buckets d'infrastructure des journaux d'audit | audit-logs-infra-bucket-viewer |
Affichez les buckets de sauvegarde des journaux d'audit de l'infrastructure. | Role |
| FluentBit IO Creator | fluentbit-io-creator |
Créez des ressources personnalisées FluentBit dans l'espace de noms du projet. |
ClusterRole |
| Éditeur FluentBit IO | fluentbit-io-editor |
Modifiez les ressources personnalisées FluentBit dans l'espace de noms du projet. |
ClusterRole |
| Lecteur FluentBit IO | fluentbit-io-viewer |
Affichez les ressources personnalisées FluentBit dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'E/S LogCollector | logcollector-io-creator |
Créez des ressources personnalisées LogCollector dans l'espace de noms du projet. |
ClusterRole |
| Éditeur LogCollector IO | logcollector-io-editor |
Modifiez les ressources personnalisées LogCollector dans l'espace de noms du projet. |
ClusterRole |
| Visionneuse LogCollector IO | logcollector-io-viewer |
Affichez les ressources personnalisées LogCollector dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'IO LoggingRule | loggingrule-io-creator |
Créez des ressources personnalisées LoggingRule dans l'espace de noms du projet. |
ClusterRole |
| Éditeur d'IO LoggingRule | loggingrule-io-editor |
Modifiez les ressources personnalisées LoggingRule dans l'espace de noms du projet. |
ClusterRole |
| Lecteur d'IO LoggingRule | loggingrule-io-viewer |
Affichez les ressources personnalisées LoggingRule dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'E/S LoggingTarget | loggingtarget-io-creator |
Créez des ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Éditeur d'E/S LoggingTarget | loggingtarget-io-editor |
Modifiez les ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Visionneuse E/S LoggingTarget | loggingtarget-io-viewer |
Affichez les ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
ClusterRole |
Rôles prédéfinis dans le cluster d'administrateur racine
Demandez les autorisations appropriées à votre Administrateur de sécurité pour utiliser les services de journalisation et de surveillance dans le cluster d'administrateur racine.
Pour accorder aux membres de l'équipe l'accès aux ressources, attribuez des rôles en créant des liaisons de rôle sur le cluster d'administrateur racine à l'aide de son fichier kubeconfig. Pour accorder des autorisations ou recevoir un accès à un rôle, consultez Accorder et révoquer l'accès.
Pour en savoir plus, consultez Descriptions des rôles prédéfinis.
Ressources de surveillance
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de surveillance :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur de tableaux de bord | dashboard-creator |
Créez des ressources personnalisées Dashboard dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur de tableaux de bord | dashboard-editor |
Modifiez les ressources personnalisées Dashboard dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur de tableaux de bord | dashboard-viewer |
Affichez les ressources personnalisées Dashboard dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur Grafana | grafana-viewer |
Visualisez les données d'observabilité dans les tableaux de bord de l'instance de surveillance Grafana du cluster d'administrateur racine. | ClusterRole |
| Créateur de règles de surveillance | monitoringrule-creator |
Créez des ressources personnalisées MonitoringRule dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur MonitoringRule | monitoringrule-editor |
Modifiez les ressources personnalisées MonitoringRule dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur MonitoringRule | monitoringrule-viewer |
Affichez les ressources personnalisées MonitoringRule dans le cluster d'administrateur racine. |
ClusterRole |
| Créateur de MonitoringTarget | monitoringtarget-creator |
Créez des ressources personnalisées MonitoringTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur MonitoringTarget | monitoringtarget-editor |
Modifiez les ressources personnalisées MonitoringTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur MonitoringTarget | monitoringtarget-viewer |
Affichez les ressources personnalisées MonitoringTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Créateur ObservabilityPipeline | observabilitypipeline-creator |
Créez des ressources personnalisées ObservabilityPipeline dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur ObservabilityPipeline | observabilitypipeline-editor |
Modifiez les ressources personnalisées ObservabilityPipeline dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur ObservabilityPipeline | observabilitypipeline-viewer |
Affichez les ressources personnalisées ObservabilityPipeline dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur Alertmanager du cortex racine | root-cortex-alertmanager-editor |
Modifiez l'instance Cortex Alertmanager dans le cluster d'administrateur racine. | Role |
| Lecteur Root Cortex Alertmanager | root-cortex-alertmanager-viewer |
Accédez à l'instance Cortex Alertmanager dans le cluster d'administrateur racine. | Role |
| Visionneuse Prometheus Root Cortex | root-cortex-prometheus-viewer |
Accédez à l'instance Cortex Prometheus dans le cluster d'administrateur racine. | Role |
| Lecteur ServiceLevelObjective | servicelevelobjective-viewer |
Visualisez les ressources personnalisées ServiceLevelObjective dans le cluster d'administrateur racine. |
ClusterRole |
Ressources de journalisation
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de journalisation :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur de AuditLoggingTarget | auditloggingtarget-creator |
Créez des ressources personnalisées AuditLoggingTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur AuditLoggingTarget | auditloggingtarget-editor |
Modifiez les ressources personnalisées AuditLoggingTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur AuditLoggingTarget | auditloggingtarget-viewer |
Affichez les ressources personnalisées AuditLoggingTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Créateur de sauvegarde et de restauration des journaux d'audit | audit-logs-backup-restore-creator |
Créez une configuration de job de transfert de sauvegarde et restaurez les journaux d'audit. | Role |
| Éditeur de sauvegarde et de restauration des journaux d'audit | audit-logs-backup-restore-editor |
Modifiez la configuration du job de transfert de sauvegarde et restaurez les journaux d'audit. | Role |
| Lecteur de buckets d'infrastructure des journaux d'audit | audit-logs-infra-bucket-viewer |
Affichez les buckets de sauvegarde des journaux d'audit de l'infrastructure. | Role |
| Créateur Fluent Bit | fluentbit-creator |
Créez des ressources personnalisées FluentBit dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur FluentBit | fluentbit-editor |
Modifiez les ressources personnalisées FluentBit dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur Fluent Bit | fluentbit-viewer |
Affichez les ressources personnalisées FluentBit dans le cluster d'administrateur racine. |
ClusterRole |
| Créateur LogCollector | logcollector-creator |
Créez des ressources personnalisées LogCollector dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur LogCollector | logcollector-editor |
Modifiez les ressources personnalisées LogCollector dans le cluster d'administrateur racine. |
ClusterRole |
| Visionneuse LogCollector | logcollector-viewer |
Affichez les ressources personnalisées LogCollector dans le cluster d'administrateur racine. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Créez des ressources personnalisées LoggingRule dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur LoggingRule | loggingrule-editor |
Modifiez les ressources personnalisées LoggingRule dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur de règles de journalisation | loggingrule-viewer |
Affichez les ressources personnalisées LoggingRule dans le cluster d'administrateur racine. |
ClusterRole |
Autorisations IAM pour l'administrateur de plate-forme et l'opérateur d'application
Sur l'appliance GDC isolée, IAM propose les deux types de rôles PA/AO prédéfinis suivants, en fonction du niveau d'accès dont vous avez besoin :
ClusterRole: accorde des autorisations à un sujet au niveau de l'organisation. Les rôles au niveau de l'organisation vous permettent de déployer des ressources personnalisées dans tous les espaces de noms de projet du serveur de l'API Management et d'activer des services dans tous les projets de votre organisation.Role: accordez des autorisations à un sujet au niveau du projet en propageant les rôles aux espaces de noms Kubernetes. Les rôles au niveau du projet vous permettent de déployer des ressources personnalisées dans l'espace de noms du projet du serveur de l'API Management et d'activer les services uniquement dans l'espace de noms de votre projet.
Si vous ne parvenez pas à accéder à un service de surveillance ou de journalisation, ou à l'utiliser, contactez votre administrateur pour qu'il vous attribue les rôles nécessaires. Demandez les autorisations appropriées à l'administrateur IAM de votre projet. Si vous avez besoin d'autorisations au niveau de l'organisation, demandez-les plutôt à votre administrateur IAM de l'organisation.
Cette page décrit tous les rôles et leurs autorisations respectives pour l'utilisation des services de surveillance et de journalisation.
Rôles prédéfinis au niveau du projet
Demandez les autorisations appropriées à l'administrateur IAM de votre projet pour utiliser les services de journalisation et de surveillance dans un projet. Tous les rôles doivent être associés à l'espace de noms du projet dans lequel vous utilisez le service.
Pour accorder des autorisations ou recevoir un accès aux ressources au niveau du projet, consultez Accorder l'accès aux ressources d'un projet.
Ressources de surveillance
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de surveillance :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur de ConfigMap | configmap-creator |
Créez des objets ConfigMap dans l'espace de noms du projet. |
Role |
| Éditeur de tableaux de bord | dashboard-editor |
Modifiez les ressources personnalisées Dashboard dans l'espace de noms du projet. |
Role |
| Lecteur de tableaux de bord | dashboard-viewer |
Affichez les ressources personnalisées Dashboard dans l'espace de noms du projet. |
Role |
| Éditeur MonitoringRule | monitoringrule-editor |
Modifiez les ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
Role |
| Lecteur MonitoringRule | monitoringrule-viewer |
Affichez les ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
Role |
| Éditeur MonitoringTarget | monitoringtarget-editor |
Modifiez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
Role |
| Lecteur MonitoringTarget | monitoringtarget-viewer |
Affichez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
Role |
| Éditeur ObservabilityPipeline | observabilitypipeline-editor |
Modifiez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
Role |
| Lecteur ObservabilityPipeline | observabilitypipeline-viewer |
Affichez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
Role |
| Éditeur Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Modifiez l'instance Cortex Alertmanager dans l'espace de noms du projet. | Role |
| Lecteur Alertmanager Project Cortex | project-cortex-alertmanager-viewer |
Accédez à l'instance Cortex Alertmanager dans l'espace de noms du projet. | Role |
| Lecteur Prometheus Project Cortex | project-cortex-prometheus-viewer |
Accédez à l'instance Prometheus de Cortex dans l'espace de noms du projet. | Role |
| Lecteur Grafana de projet | project-grafana-viewer |
Visualisez les données d'observabilité liées au projet dans les tableaux de bord de l'instance de surveillance Grafana. | Role |
Ressources de journalisation
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de journalisation :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur de buckets de restauration de la plate-forme des journaux d'audit | audit-logs-platform-restore-bucket-creator |
Créez des buckets de sauvegarde pour restaurer les journaux d'audit de la plate-forme. | Role |
| Lecteur de buckets de plate-forme de journaux d'audit | audit-logs-platform-bucket-viewer |
Affichez les buckets de sauvegarde des journaux d'audit de la plate-forme. | Role |
| LoggingRule Creator | loggingrule-creator |
Créez des ressources personnalisées LoggingRule dans l'espace de noms du projet. |
Role |
| Éditeur LoggingRule | loggingrule-editor |
Modifiez les ressources personnalisées LoggingRule dans l'espace de noms du projet. |
Role |
| Lecteur de règles de journalisation | loggingrule-viewer |
Affichez les ressources personnalisées LoggingRule dans l'espace de noms du projet. |
Role |
| Créateur de LoggingTarget | loggingtarget-creator |
Créez des ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
Role |
| Éditeur LoggingTarget | loggingtarget-editor |
Modifiez les ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
Role |
| Visionneuse LoggingTarget | loggingtarget-viewer |
Affichez les ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
Role |