Google Distributed Cloud(GDC)エアギャップ アプライアンスは、特定の GDC エアギャップ アプライアンス リソースに対する詳細なアクセス権を付与する Identity and Access Management(IAM)を提供し、他のリソースへの不要なアクセスを防ぎます。IAM は最小権限のセキュリティ原則に基づいて動作し、IAM ロールと権限を使用して、特定のリソースにアクセスできるユーザーを制御します。
ロールは、リソースに対する特定のアクションにマッピングされ、ユーザー、ユーザー グループ、サービス アカウントなどの個々のサブジェクトに割り当てられる特定の権限の集合です。そのため、GDC エアギャップ アプライアンスでモニタリング サービスとロギング サービスを使用するには、適切な IAM ロールと権限が必要です。
Infrastructure Operator の IAM 権限
GDC エアギャップ アプライアンスの IAM には、次のアクセスレベルで取得できる事前定義ロールタイプが用意されています。
- Management API サーバー: ロギング サービスとモニタリング サービスを使用する Management API サーバーのプロジェクト Namespace で、カスタム リソースをプロジェクト レベルで管理する権限を持つサブジェクトを付与します。
- ルート管理者クラスタ: ルート管理者クラスタでインフラストラクチャ リソースを管理する権限を持つサブジェクトに権限を付与します。
モニタリング サービスまたはロギング サービスにアクセスできない場合や使用できない場合は、管理者にお問い合わせのうえ、必要なロールを付与してもらってください。セキュリティ管理者に適切な権限をリクエストします。
このページでは、モニタリング サービスとロギング サービスの使用に関するすべてのロールとそれぞれの権限について説明します。
プロジェクト レベルの事前定義ロール
オブザーバビリティ サービスのライフサイクルを管理する Management API サーバーのプロジェクト Namespace でロギングとモニタリングを設定するには、セキュリティ管理者から適切な権限をリクエストします。
すべてのロールは、サービスを使用している Management API サーバーのプロジェクト Namespace にバインドする必要があります。チームメンバーにリソース アクセス権を付与するには、kubeconfig ファイルを使用して Management API サーバーにロール バインディングを作成し、ロールを割り当てます。権限を付与する、またはロール アクセス権を取得するには、アクセス権の付与と取り消しをご覧ください。
詳細については、事前定義ロールの説明をご覧ください。
モニタリング リソース
次の表に、モニタリング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| ConfigMap 作成者 | configmap-creator |
プロジェクト Namespace に ConfigMap オブジェクトを作成します。 |
Role |
| Dashboard IO Creator | dashboard-io-creator |
プロジェクト Namespace に Dashboard カスタム リソースを作成します。 |
ClusterRole |
| Dashboard IO Editor | dashboard-io-editor |
プロジェクト Namespace の Dashboard カスタム リソースを編集または変更します。 |
ClusterRole |
| ダッシュボード IO 閲覧者 | dashboard-io-viewer |
プロジェクト Namespace の Dashboard カスタム リソースを表示します。 |
ClusterRole |
| MonitoringRule IO 作成者 | monitoringrule-io-creator |
プロジェクト Namespace に MonitoringRule カスタム リソースを作成します。 |
ClusterRole |
| MonitoringRule IO 編集者 | monitoringrule-io-editor |
プロジェクト Namespace の MonitoringRule カスタム リソースを編集または変更します。 |
ClusterRole |
| MonitoringRule IO 閲覧者 | monitoringrule-io-viewer |
プロジェクト Namespace の MonitoringRule カスタム リソースを表示します。 |
ClusterRole |
| MonitoringTarget IO 作成者 | monitoringtarget-io-creator |
プロジェクト Namespace に MonitoringTarget カスタム リソースを作成します。 |
ClusterRole |
| MonitoringTarget IO エディタ | monitoringtarget-io-editor |
プロジェクト Namespace の MonitoringTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| MonitoringTarget IO 閲覧者 | monitoringtarget-io-viewer |
プロジェクト Namespace の MonitoringTarget カスタム リソースを表示します。 |
ClusterRole |
| ObservabilityPipeline IO 作成者 | observabilitypipeline-io-creator |
プロジェクト Namespace に ObservabilityPipeline カスタム リソースを作成します。 |
ClusterRole |
| ObservabilityPipeline IO 編集者 | observabilitypipeline-io-editor |
プロジェクト Namespace の ObservabilityPipeline カスタム リソースを編集または変更します。 |
ClusterRole |
| ObservabilityPipeline IO 閲覧者 | observabilitypipeline-io-viewer |
プロジェクト Namespace の ObservabilityPipeline カスタム リソースを表示します。 |
ClusterRole |
| Project Cortex Alertmanager 編集者 | project-cortex-alertmanager-editor |
プロジェクトの Namespace で Cortex Alertmanager インスタンスを編集します。 | Role |
| Project Cortex Alertmanager 閲覧者 | project-cortex-alertmanager-viewer |
プロジェクト Namespace の Cortex Alertmanager インスタンスにアクセスします。 | Role |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
プロジェクト Namespace の Cortex Prometheus インスタンスにアクセスします。 | Role |
| プロジェクト Grafana 閲覧者 | project-grafana-viewer |
Grafana モニタリング インスタンスのダッシュボードで、プロジェクト関連のオブザーバビリティ データを可視化します。 | Role |
| ServiceLevelObjective 閲覧者 | servicelevelobjective-viewer |
Management API サーバーで ServiceLevelObjective カスタム リソースを可視化します。 |
ClusterRole |
ロギング リソース
次の表に、ロギング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
プロジェクト Namespace に AuditLoggingTarget カスタム リソースを作成します。 |
ClusterRole |
| AuditLoggingTarget IO 編集者 | auditloggingtarget-io-editor |
プロジェクト Namespace の AuditLoggingTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| AuditLoggingTarget IO 閲覧者 | auditloggingtarget-io-viewer |
プロジェクト Namespace の AuditLoggingTarget カスタム リソースを表示します。 |
ClusterRole |
| 監査ログ バックアップ復元作成者 | audit-logs-backup-restore-creator |
バックアップ転送ジョブ構成を作成し、監査ログを復元します。 | Role |
| 監査ログ バックアップ復元エディタ | audit-logs-backup-restore-editor |
バックアップ転送ジョブの構成を編集し、監査ログを復元します。 | Role |
| 監査ログ インフラストラクチャ バケット閲覧者 | audit-logs-infra-bucket-viewer |
インフラストラクチャ監査ログのバックアップ バケットを表示します。 | Role |
| FluentBit IO Creator | fluentbit-io-creator |
プロジェクト Namespace に FluentBit カスタム リソースを作成します。 |
ClusterRole |
| FluentBit IO エディタ | fluentbit-io-editor |
プロジェクト Namespace の FluentBit カスタム リソースを編集または変更します。 |
ClusterRole |
| FluentBit IO 閲覧者 | fluentbit-io-viewer |
プロジェクト Namespace の FluentBit カスタム リソースを表示します。 |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
プロジェクト Namespace に LogCollector カスタム リソースを作成します。 |
ClusterRole |
| LogCollector IO エディタ | logcollector-io-editor |
プロジェクト Namespace の LogCollector カスタム リソースを編集または変更します。 |
ClusterRole |
| LogCollector IO Viewer | logcollector-io-viewer |
プロジェクト Namespace の LogCollector カスタム リソースを表示します。 |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
プロジェクト Namespace に LoggingRule カスタム リソースを作成します。 |
ClusterRole |
| LoggingRule IO エディタ | loggingrule-io-editor |
プロジェクト Namespace の LoggingRule カスタム リソースを編集または変更します。 |
ClusterRole |
| LoggingRule IO 閲覧者 | loggingrule-io-viewer |
プロジェクト Namespace の LoggingRule カスタム リソースを表示します。 |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
プロジェクト Namespace に LoggingTarget カスタム リソースを作成します。 |
ClusterRole |
| LoggingTarget IO エディタ | loggingtarget-io-editor |
プロジェクト Namespace の LoggingTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| LoggingTarget IO ビューア | loggingtarget-io-viewer |
プロジェクト Namespace の LoggingTarget カスタム リソースを表示します。 |
ClusterRole |
ルート管理クラスタの事前定義ロール
ルート管理クラスタでロギング サービスとモニタリング サービスを使用するには、セキュリティ管理者に適切な権限をリクエストします。
チームメンバーにリソース アクセス権を付与するには、kubeconfig ファイルを使用して、ルート管理クラスタにロール バインディングを作成してロールを割り当てます。権限を付与する、またはロールのアクセス権を取得するには、アクセス権の付与と取り消しをご覧ください。
詳細については、事前定義ロールの説明をご覧ください。
モニタリング リソース
次の表に、モニタリング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| ダッシュボード作成者 | dashboard-creator |
ルート管理クラスタに Dashboard カスタム リソースを作成します。 |
ClusterRole |
| ダッシュボード エディタ | dashboard-editor |
ルート管理クラスタで Dashboard カスタム リソースを編集または変更します。 |
ClusterRole |
| ダッシュボード閲覧者 | dashboard-viewer |
ルート管理クラスタで Dashboard カスタム リソースを表示します。 |
ClusterRole |
| Grafana 閲覧者 | grafana-viewer |
ルート管理クラスタの Grafana モニタリング インスタンスのダッシュボードでオブザーバビリティ データを可視化します。 | ClusterRole |
| MonitoringRule 作成者 | monitoringrule-creator |
ルート管理クラスタに MonitoringRule カスタム リソースを作成します。 |
ClusterRole |
| MonitoringRule エディタ | monitoringrule-editor |
ルート管理クラスタで MonitoringRule カスタム リソースを編集または変更します。 |
ClusterRole |
| MonitoringRule 閲覧者 | monitoringrule-viewer |
ルート管理クラスタで MonitoringRule カスタム リソースを表示します。 |
ClusterRole |
| MonitoringTarget 作成者 | monitoringtarget-creator |
ルート管理クラスタに MonitoringTarget カスタム リソースを作成します。 |
ClusterRole |
| MonitoringTarget 編集者 | monitoringtarget-editor |
ルート管理クラスタで MonitoringTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| MonitoringTarget 閲覧者 | monitoringtarget-viewer |
ルート管理クラスタで MonitoringTarget カスタム リソースを表示します。 |
ClusterRole |
| ObservabilityPipeline 作成者 | observabilitypipeline-creator |
ルート管理クラスタに ObservabilityPipeline カスタム リソースを作成します。 |
ClusterRole |
| ObservabilityPipeline 編集者 | observabilitypipeline-editor |
ルート管理クラスタで ObservabilityPipeline カスタム リソースを編集または変更します。 |
ClusterRole |
| ObservabilityPipeline 閲覧者 | observabilitypipeline-viewer |
ルート管理クラスタで ObservabilityPipeline カスタム リソースを表示します。 |
ClusterRole |
| ルート Cortex Alertmanager 編集者 | root-cortex-alertmanager-editor |
ルート管理クラスタで Cortex Alertmanager インスタンスを編集します。 | Role |
| Root Cortex Alertmanager 閲覧者 | root-cortex-alertmanager-viewer |
ルート管理クラスタの Cortex Alertmanager インスタンスにアクセスします。 | Role |
| Root Cortex Prometheus Viewer | root-cortex-prometheus-viewer |
ルート管理クラスタで Cortex Prometheus インスタンスにアクセスします。 | Role |
| ServiceLevelObjective 閲覧者 | servicelevelobjective-viewer |
ルート管理クラスタで ServiceLevelObjective カスタム リソースを可視化します。 |
ClusterRole |
ロギング リソース
次の表に、ロギング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| AuditLoggingTarget 作成者 | auditloggingtarget-creator |
ルート管理クラスタに AuditLoggingTarget カスタム リソースを作成します。 |
ClusterRole |
| AuditLoggingTarget 編集者 | auditloggingtarget-editor |
ルート管理クラスタで AuditLoggingTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| AuditLoggingTarget 閲覧者 | auditloggingtarget-viewer |
ルート管理クラスタで AuditLoggingTarget カスタム リソースを表示します。 |
ClusterRole |
| 監査ログ バックアップ復元作成者 | audit-logs-backup-restore-creator |
バックアップ転送ジョブ構成を作成し、監査ログを復元します。 | Role |
| 監査ログ バックアップ復元エディタ | audit-logs-backup-restore-editor |
バックアップ転送ジョブの構成を編集し、監査ログを復元します。 | Role |
| 監査ログ インフラストラクチャ バケット閲覧者 | audit-logs-infra-bucket-viewer |
インフラストラクチャ監査ログのバックアップ バケットを表示します。 | Role |
| FluentBit Creator | fluentbit-creator |
ルート管理クラスタに FluentBit カスタム リソースを作成します。 |
ClusterRole |
| FluentBit エディタ | fluentbit-editor |
ルート管理クラスタで FluentBit カスタム リソースを編集または変更します。 |
ClusterRole |
| FluentBit 閲覧者 | fluentbit-viewer |
ルート管理クラスタで FluentBit カスタム リソースを表示します。 |
ClusterRole |
| LogCollector 作成者 | logcollector-creator |
ルート管理クラスタに LogCollector カスタム リソースを作成します。 |
ClusterRole |
| LogCollector エディタ | logcollector-editor |
ルート管理クラスタで LogCollector カスタム リソースを編集または変更します。 |
ClusterRole |
| LogCollector Viewer | logcollector-viewer |
ルート管理クラスタで LogCollector カスタム リソースを表示します。 |
ClusterRole |
| LoggingRule 作成者 | loggingrule-creator |
ルート管理クラスタに LoggingRule カスタム リソースを作成します。 |
ClusterRole |
| LoggingRule エディタ | loggingrule-editor |
ルート管理クラスタで LoggingRule カスタム リソースを編集または変更します。 |
ClusterRole |
| LoggingRule 閲覧者 | loggingrule-viewer |
ルート管理クラスタで LoggingRule カスタム リソースを表示します。 |
ClusterRole |
プラットフォーム管理者(PA)とアプリケーション オペレーターの IAM 権限
GDC エアギャップ アプライアンスの IAM には、必要なアクセスレベルに応じて、次の 2 つの事前定義された PA/AO ロールタイプが用意されています。
ClusterRole: 組織レベルで権限を持つサブジェクトを付与します。組織レベルのロールを使用すると、Management API サーバーのすべてのプロジェクト Namespace にカスタム リソースをデプロイし、組織全体のすべてのプロジェクトでサービスを有効にできます。Role: ロールを Kubernetes Namespace に伝播して、プロジェクト レベルで権限を持つサブジェクトを付与します。プロジェクト レベルのロールを使用すると、カスタム リソースを Management API サーバーのプロジェクト名前空間にデプロイし、プロジェクト名前空間でのみサービスを有効にできます。
モニタリング サービスまたはロギング サービスにアクセスできない場合や使用できない場合は、管理者にお問い合わせのうえ、必要なロールを付与してもらってください。特定のプロジェクトに対する適切な権限をプロジェクト IAM 管理者にリクエストします。組織レベルの権限が必要な場合は、組織の IAM 管理者に依頼してください。
このページでは、モニタリング サービスとロギング サービスの使用に関するすべてのロールとそれぞれの権限について説明します。
プロジェクト レベルの事前定義ロール
プロジェクトでロギング サービスとモニタリング サービスを使用するには、プロジェクト IAM 管理者に適切な権限をリクエストします。すべてのロールは、サービスを使用しているプロジェクトの Namespace にバインドする必要があります。
プロジェクト レベルでリソースに対する権限を付与する、またはロール アクセス権を取得するには、プロジェクト リソースへのアクセス権を付与するをご覧ください。
モニタリング リソース
次の表に、モニタリング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| ConfigMap 作成者 | configmap-creator |
プロジェクト Namespace に ConfigMap オブジェクトを作成します。 |
Role |
| ダッシュボード エディタ | dashboard-editor |
プロジェクト Namespace の Dashboard カスタム リソースを編集または変更します。 |
Role |
| ダッシュボード閲覧者 | dashboard-viewer |
プロジェクト Namespace の Dashboard カスタム リソースを表示します。 |
Role |
| MonitoringRule エディタ | monitoringrule-editor |
プロジェクト Namespace の MonitoringRule カスタム リソースを編集または変更します。 |
Role |
| MonitoringRule 閲覧者 | monitoringrule-viewer |
プロジェクト Namespace の MonitoringRule カスタム リソースを表示します。 |
Role |
| MonitoringTarget 編集者 | monitoringtarget-editor |
プロジェクト Namespace の MonitoringTarget カスタム リソースを編集または変更します。 |
Role |
| MonitoringTarget 閲覧者 | monitoringtarget-viewer |
プロジェクト Namespace の MonitoringTarget カスタム リソースを表示します。 |
Role |
| ObservabilityPipeline 編集者 | observabilitypipeline-editor |
プロジェクト Namespace の ObservabilityPipeline カスタム リソースを編集または変更します。 |
Role |
| ObservabilityPipeline 閲覧者 | observabilitypipeline-viewer |
プロジェクト Namespace の ObservabilityPipeline カスタム リソースを表示します。 |
Role |
| Project Cortex Alertmanager 編集者 | project-cortex-alertmanager-editor |
プロジェクトの Namespace で Cortex Alertmanager インスタンスを編集します。 | Role |
| Project Cortex Alertmanager 閲覧者 | project-cortex-alertmanager-viewer |
プロジェクト Namespace の Cortex Alertmanager インスタンスにアクセスします。 | Role |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
プロジェクト Namespace の Cortex Prometheus インスタンスにアクセスします。 | Role |
| プロジェクト Grafana 閲覧者 | project-grafana-viewer |
Grafana モニタリング インスタンスのダッシュボードで、プロジェクト関連のオブザーバビリティ データを可視化します。 | Role |
ロギング リソース
次の表に、ロギング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| 監査ログ プラットフォーム復元バケット作成者 | audit-logs-platform-restore-bucket-creator |
プラットフォームの監査ログを復元するためのバックアップ バケットを作成します。 | Role |
| 監査ログ プラットフォーム バケット閲覧者 | audit-logs-platform-bucket-viewer |
プラットフォーム監査ログのバックアップ バケットを表示します。 | Role |
| LoggingRule 作成者 | loggingrule-creator |
プロジェクト Namespace に LoggingRule カスタム リソースを作成します。 |
Role |
| LoggingRule エディタ | loggingrule-editor |
プロジェクト Namespace の LoggingRule カスタム リソースを編集または変更します。 |
Role |
| LoggingRule 閲覧者 | loggingrule-viewer |
プロジェクト Namespace の LoggingRule カスタム リソースを表示します。 |
Role |
| LoggingTarget Creator | loggingtarget-creator |
プロジェクト Namespace に LoggingTarget カスタム リソースを作成します。 |
Role |
| LoggingTarget エディタ | loggingtarget-editor |
プロジェクト Namespace の LoggingTarget カスタム リソースを編集または変更します。 |
Role |
| LoggingTarget 閲覧者 | loggingtarget-viewer |
プロジェクト Namespace の LoggingTarget カスタム リソースを表示します。 |
Role |