L'appliance con air gap di Google Distributed Cloud (GDC) offre Identity and Access Management (IAM) per un accesso granulare a risorse specifiche dell'appliance con air gap di GDC e impedisce l'accesso indesiderato ad altre risorse. IAM opera in base al principio di sicurezza del privilegio minimo e controlla chi può accedere a determinate risorse utilizzando ruoli e autorizzazioni IAM.
Un ruolo è un insieme di autorizzazioni specifiche mappate a determinate azioni sulle risorse e assegnate a singoli soggetti, come utenti, gruppi di utenti o service account. Pertanto, devi disporre dei ruoli e delle autorizzazioni IAM appropriati per utilizzare i servizi di monitoraggio e logging sull'appliance GDC air-gap.
Autorizzazioni IAM per l'operatore dell'infrastruttura
IAM sull'appliance GDC air-gapped offre tipi di ruoli predefiniti che puoi ottenere nei seguenti livelli di accesso:
- Server API Management: concedi a un soggetto le autorizzazioni per gestire le risorse personalizzate a livello di progetto nello spazio dei nomi del progetto del server API Management in cui vuole utilizzare i servizi di logging e monitoraggio.
- Cluster amministratore principale: concedi a un soggetto le autorizzazioni per gestire le risorse dell'infrastruttura nel cluster amministratore principale.
Se non riesci ad accedere o a utilizzare un servizio di monitoraggio o logging, contatta l'amministratore per ottenere i ruoli necessari. Richiedi le autorizzazioni appropriate all'Amministratore sicurezzaa.
Questa pagina descrive tutti i ruoli e le rispettive autorizzazioni per l'utilizzo dei servizi di monitoraggio e logging.
Ruoli predefiniti a livello di progetto
Richiedi le autorizzazioni appropriate all'Amministratore sicurezza per configurare la registrazione e il monitoraggio nello spazio dei nomi del progetto del server API Management in cui vuoi gestire il ciclo di vita dei servizi di osservabilità.
Tutti i ruoli devono essere associati allo spazio dei nomi del progetto del server dell'API Management in cui utilizzi il servizio. Per concedere ai membri del team l'accesso alle risorse, assegna i ruoli creando associazioni di ruoli sul server API Management utilizzando il file kubeconfig. Per concedere autorizzazioni o ricevere l'accesso al ruolo, vedi Concedere e revocare l'accesso.
Per ulteriori informazioni, consulta Descrizioni dei ruoli predefiniti.
Monitoraggio delle risorse
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per il monitoraggio delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| Creatore di ConfigMap | configmap-creator |
Crea oggetti ConfigMap nello spazio dei nomi del progetto. |
Role |
| Dashboard IO Creator | dashboard-io-creator |
Crea risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
ClusterRole |
| Dashboard IO Editor | dashboard-io-editor |
Modifica le risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
ClusterRole |
| Dashboard IO Viewer | dashboard-io-viewer |
Visualizza le risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringRule IO Creator | monitoringrule-io-creator |
Crea risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
ClusterRole |
| Editor IO MonitoringRule | monitoringrule-io-editor |
Modifica le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringRule IO Viewer | monitoringrule-io-viewer |
Visualizza le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Crea risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringTarget IO Editor | monitoringtarget-io-editor |
Modifica le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringTarget IO Viewer | monitoringtarget-io-viewer |
Visualizza le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
Crea risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
ClusterRole |
| ObservabilityPipeline IO Editor | observabilitypipeline-io-editor |
Modifica le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
ClusterRole |
| ObservabilityPipeline IO Viewer | observabilitypipeline-io-viewer |
Visualizza le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
ClusterRole |
| Editor di Project Cortex Alertmanager | project-cortex-alertmanager-editor |
Modifica l'istanza di Cortex Alertmanager nello spazio dei nomi del progetto. | Role |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
Accedi all'istanza di Cortex Alertmanager nello spazio dei nomi del progetto. | Role |
| Visualizzatore Prometheus di Project Cortex | project-cortex-prometheus-viewer |
Accedi all'istanza di Cortex Prometheus nello spazio dei nomi del progetto. | Role |
| Project Grafana Viewer | project-grafana-viewer |
Visualizza i dati di osservabilità correlati al progetto nelle dashboard dell'istanza di monitoraggio Grafana. | Role |
| Visualizzatore ServiceLevelObjective | servicelevelobjective-viewer |
Visualizza le risorse personalizzate ServiceLevelObjective nel server API Management. |
ClusterRole |
Risorse di logging
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per la registrazione delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
Crea risorse personalizzate AuditLoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| AuditLoggingTarget IO Editor | auditloggingtarget-io-editor |
Modifica le risorse personalizzate AuditLoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| AuditLoggingTarget IO Viewer | auditloggingtarget-io-viewer |
Visualizza le risorse personalizzate AuditLoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| Audit Logs Backup Restore Creator | audit-logs-backup-restore-creator |
Crea una configurazione del job di trasferimento del backup e ripristina i log di controllo. | Role |
| Editor di backup e ripristino degli audit log | audit-logs-backup-restore-editor |
Modifica la configurazione del job di trasferimento del backup e ripristina i log di controllo. | Role |
| Audit Logs Infra Bucket Viewer | audit-logs-infra-bucket-viewer |
Visualizza i bucket di backup dei log di controllo dell'infrastruttura. | Role |
| FluentBit IO Creator | fluentbit-io-creator |
Crea risorse personalizzate FluentBit nello spazio dei nomi del progetto. |
ClusterRole |
| FluentBit IO Editor | fluentbit-io-editor |
Modifica le risorse personalizzate FluentBit nello spazio dei nomi del progetto. |
ClusterRole |
| FluentBit IO Viewer | fluentbit-io-viewer |
Visualizza le risorse personalizzate FluentBit nello spazio dei nomi del progetto. |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
Crea risorse personalizzate LogCollector nello spazio dei nomi del progetto. |
ClusterRole |
| LogCollector IO Editor | logcollector-io-editor |
Modifica le risorse personalizzate LogCollector nello spazio dei nomi del progetto. |
ClusterRole |
| Visualizzatore IO LogCollector | logcollector-io-viewer |
Visualizza le risorse personalizzate LogCollector nello spazio dei nomi del progetto. |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
Crea risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
ClusterRole |
| LoggingRule IO Editor | loggingrule-io-editor |
Modifica le risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
ClusterRole |
| Visualizzatore IO LoggingRule | loggingrule-io-viewer |
Visualizza le risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
Crea risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| LoggingTarget IO Editor | loggingtarget-io-editor |
Modifica le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| Visualizzatore IO LoggingTarget | loggingtarget-io-viewer |
Visualizza le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
Ruoli predefiniti nel cluster amministrativo principale
Richiedi le autorizzazioni appropriate all'Amministratore sicurezza per utilizzare i servizi di logging e monitoraggio nel cluster di amministrazione principale.
Per concedere ai membri del team l'accesso alle risorse, assegna i ruoli creando associazioni di ruoli nel cluster di amministrazione principale utilizzando il relativo file kubeconfig. Per concedere autorizzazioni o ricevere l'accesso al ruolo, vedi Concedere e revocare l'accesso.
Per ulteriori informazioni, consulta Descrizioni dei ruoli predefiniti.
Monitoraggio delle risorse
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per il monitoraggio delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| Creatore di dashboard | dashboard-creator |
Crea risorse personalizzate Dashboard nel cluster di amministrazione principale. |
ClusterRole |
| Editor dashboard | dashboard-editor |
Modifica le risorse personalizzate Dashboard nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore dashboard | dashboard-viewer |
Visualizza le risorse personalizzate Dashboard nel cluster di amministrazione principale. |
ClusterRole |
| Visualizzatore Grafana | grafana-viewer |
Visualizza i dati di osservabilità nelle dashboard dell'istanza di monitoraggio Grafana nel cluster di amministrazione principale. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
Crea risorse personalizzate MonitoringRule nel cluster di amministrazione principale. |
ClusterRole |
| MonitoringRule Editor | monitoringrule-editor |
Modifica le risorse personalizzate MonitoringRule nell'amministratore cluster radice. |
ClusterRole |
| MonitoringRule Viewer | monitoringrule-viewer |
Visualizza le risorse personalizzate MonitoringRule nel cluster di amministrazione principale. |
ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
Crea risorse personalizzate MonitoringTarget nel cluster di amministrazione principale. |
ClusterRole |
| MonitoringTarget Editor | monitoringtarget-editor |
Modifica le risorse personalizzate MonitoringTarget nell'amministratore cluster radice. |
ClusterRole |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Visualizza le risorse personalizzate MonitoringTarget nel cluster di amministrazione principale. |
ClusterRole |
| Creatore ObservabilityPipeline | observabilitypipeline-creator |
Crea risorse personalizzate ObservabilityPipeline nel cluster di amministrazione principale. |
ClusterRole |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
Modifica le risorse personalizzate ObservabilityPipeline nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore ObservabilityPipeline | observabilitypipeline-viewer |
Visualizza le risorse personalizzate ObservabilityPipeline nel cluster di amministrazione principale. |
ClusterRole |
| Editor di Root Cortex Alertmanager | root-cortex-alertmanager-editor |
Modifica l'istanza di Cortex Alertmanager nel cluster di amministrazione principale. | Role |
| Root Cortex Alertmanager Viewer | root-cortex-alertmanager-viewer |
Accedi all'istanza di Cortex Alertmanager nel cluster di amministrazione principale. | Role |
| Visualizzatore Prometheus Cortex principale | root-cortex-prometheus-viewer |
Accedi all'istanza Cortex Prometheus nel cluster di amministrazione principale. | Role |
| Visualizzatore ServiceLevelObjective | servicelevelobjective-viewer |
Visualizza le risorse personalizzate ServiceLevelObjective nel cluster di amministrazione principale. |
ClusterRole |
Risorse di logging
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per la registrazione delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| AuditLoggingTarget Creator | auditloggingtarget-creator |
Crea risorse personalizzate AuditLoggingTarget nel cluster di amministrazione principale. |
ClusterRole |
| AuditLoggingTarget Editor | auditloggingtarget-editor |
Modifica le risorse personalizzate AuditLoggingTarget nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore AuditLoggingTarget | auditloggingtarget-viewer |
Visualizza le risorse personalizzate AuditLoggingTarget nel cluster di amministrazione principale. |
ClusterRole |
| Audit Logs Backup Restore Creator | audit-logs-backup-restore-creator |
Crea una configurazione del job di trasferimento del backup e ripristina i log di controllo. | Role |
| Editor di backup e ripristino degli audit log | audit-logs-backup-restore-editor |
Modifica la configurazione del job di trasferimento del backup e ripristina i log di controllo. | Role |
| Audit Logs Infra Bucket Viewer | audit-logs-infra-bucket-viewer |
Visualizza i bucket di backup dei log di controllo dell'infrastruttura. | Role |
| FluentBit Creator | fluentbit-creator |
Crea risorse personalizzate FluentBit nel cluster di amministrazione principale. |
ClusterRole |
| FluentBit Editor | fluentbit-editor |
Modifica le risorse personalizzate FluentBit nell'amministratore cluster radice. |
ClusterRole |
| FluentBit Viewer | fluentbit-viewer |
Visualizza le risorse personalizzate FluentBit nel cluster di amministrazione principale. |
ClusterRole |
| Creatore di LogCollector | logcollector-creator |
Crea risorse personalizzate LogCollector nel cluster di amministrazione principale. |
ClusterRole |
| Editor LogCollector | logcollector-editor |
Modifica le risorse personalizzate LogCollector nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore LogCollector | logcollector-viewer |
Visualizza le risorse personalizzate LogCollector nel cluster di amministrazione principale. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Crea risorse personalizzate LoggingRule nel cluster di amministrazione principale. |
ClusterRole |
| LoggingRule Editor | loggingrule-editor |
Modifica le risorse personalizzate LoggingRule nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore LoggingRule | loggingrule-viewer |
Visualizza le risorse personalizzate LoggingRule nel cluster di amministrazione principale. |
ClusterRole |
Autorizzazioni IAM per l'amministratore della piattaforma e l'operatore dell'applicazione
IAM sull'appliance GDC air-gapped offre i seguenti due tipi di ruoli PA/AO predefiniti, a seconda del livello di accesso necessario:
ClusterRole: concede a un soggetto le autorizzazioni a livello di organizzazione. I ruoli a livello di organizzazione ti consentono di eseguire il deployment di risorse personalizzate in tutti gli spazi dei nomi dei progetti del server API Management e di attivare i servizi in tutti i progetti dell'intera organizzazione.Role: concedi a un soggetto le autorizzazioni a livello di progetto propagando i ruoli agli spazi dei nomi Kubernetes. I ruoli a livello di progetto consentono di eseguire il deployment di risorse personalizzate nello spazio dei nomi del progetto del server API Management e di abilitare i servizi solo nello spazio dei nomi del progetto.
Se non riesci ad accedere o a utilizzare un servizio di monitoraggio o logging, contatta l'amministratore per ottenere i ruoli necessari. Richiedi le autorizzazioni appropriate all'amministratore IAM progetto per un determinato progetto. Se hai bisogno di autorizzazioni a livello di organizzazione, rivolgiti all'amministratore IAM dell'organizzazione.
Questa pagina descrive tutti i ruoli e le rispettive autorizzazioni per l'utilizzo dei servizi di monitoraggio e logging.
Ruoli predefiniti a livello di progetto
Richiedi le autorizzazioni appropriate all'amministratore IAM del progetto per utilizzare i servizi di logging e monitoraggio in un progetto. Tutti i ruoli devono essere associati allo spazio dei nomi del progetto in cui utilizzi il servizio.
Per concedere autorizzazioni o ricevere l'accesso ai ruoli alle risorse a livello di progetto, consulta Concedere l'accesso alle risorse del progetto.
Monitoraggio delle risorse
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per il monitoraggio delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| Creatore di ConfigMap | configmap-creator |
Crea oggetti ConfigMap nello spazio dei nomi del progetto. |
Role |
| Editor dashboard | dashboard-editor |
Modifica le risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
Role |
| Visualizzatore dashboard | dashboard-viewer |
Visualizza le risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
Role |
| MonitoringRule Editor | monitoringrule-editor |
Modifica le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
Role |
| MonitoringRule Viewer | monitoringrule-viewer |
Visualizza le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
Role |
| MonitoringTarget Editor | monitoringtarget-editor |
Modifica le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
Role |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Visualizza le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
Role |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
Modifica le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
Role |
| Visualizzatore ObservabilityPipeline | observabilitypipeline-viewer |
Visualizza le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
Role |
| Editor di Project Cortex Alertmanager | project-cortex-alertmanager-editor |
Modifica l'istanza di Cortex Alertmanager nello spazio dei nomi del progetto. | Role |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
Accedi all'istanza di Cortex Alertmanager nello spazio dei nomi del progetto. | Role |
| Visualizzatore Prometheus di Project Cortex | project-cortex-prometheus-viewer |
Accedi all'istanza di Cortex Prometheus nello spazio dei nomi del progetto. | Role |
| Project Grafana Viewer | project-grafana-viewer |
Visualizza i dati di osservabilità correlati al progetto nelle dashboard dell'istanza di monitoraggio Grafana. | Role |
Risorse di logging
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per la registrazione delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| Audit Logs Platform Restore Bucket Creator | audit-logs-platform-restore-bucket-creator |
Crea bucket di backup per ripristinare i log di controllo della piattaforma. | Role |
| Audit Logs Platform Bucket Viewer | audit-logs-platform-bucket-viewer |
Visualizza i bucket di backup dei log di controllo della piattaforma. | Role |
| LoggingRule Creator | loggingrule-creator |
Crea risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
Role |
| LoggingRule Editor | loggingrule-editor |
Modifica le risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
Role |
| Visualizzatore LoggingRule | loggingrule-viewer |
Visualizza le risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
Role |
| LoggingTarget Creator | loggingtarget-creator |
Crea risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
Role |
| LoggingTarget Editor | loggingtarget-editor |
Modifica le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
Role |
| Visualizzatore LoggingTarget | loggingtarget-viewer |
Visualizza le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
Role |