Google Distributed Cloud (GDC) 에어갭 어플라이언스는 특정 GDC 에어갭 어플라이언스 리소스에 대한 세분화된 액세스를 위한 ID 및 액세스 관리 (IAM)를 제공하고 다른 리소스에 대한 무단 액세스를 방지합니다. IAM은 최소 권한의 보안 원칙에 따라 작동하며 IAM 역할과 권한을 사용하여 특정 리소스에 액세스할 수 있는 사용자를 제어합니다.
역할은 리소스에 대한 특정 작업에 매핑되고 사용자, 사용자 그룹 또는 서비스 계정과 같은 개별 주체에 할당된 특정 권한의 모음입니다. 따라서 GDC 에어갭 어플라이언스에서 모니터링 및 로깅 서비스를 사용하려면 적절한 IAM 역할과 권한이 있어야 합니다.
인프라 운영자의 IAM 권한
GDC 에어 갭 어플라이언스의 IAM은 다음 액세스 수준에서 획득할 수 있는 사전 정의된 역할 유형을 제공합니다.
- 관리 API 서버: 로깅 및 모니터링 서비스를 사용하려는 관리 API 서버의 프로젝트 네임스페이스에서 프로젝트 수준으로 커스텀 리소스를 관리할 수 있는 권한을 주체에게 부여합니다.
- 루트 관리자 클러스터: 루트 관리자 클러스터에서 인프라 리소스를 관리할 수 있는 권한을 주체에게 부여합니다.
모니터링 또는 로깅 서비스에 액세스하거나 사용할 수 없는 경우 관리자에게 문의하여 필요한 역할을 부여받으세요. 보안 관리자에게 적절한 권한을 요청합니다.
이 페이지에서는 모니터링 및 로깅 서비스를 사용하는 데 필요한 모든 역할과 각 역할의 권한을 설명합니다.
프로젝트 수준의 사전 정의된 역할
관측 가능성 서비스의 수명 주기를 관리하려는 관리 API 서버의 프로젝트 네임스페이스에서 로깅 및 모니터링을 설정하려면 보안 관리자에게 적절한 권한을 요청하세요.
모든 역할은 서비스를 사용하는 관리 API 서버의 프로젝트 네임스페이스에 바인드되어야 합니다. 팀 구성원에게 리소스 액세스 권한을 부여하려면 kubeconfig 파일을 사용하여 관리 API 서버에서 역할 바인딩을 만들어 역할을 할당하세요. 권한을 부여하거나 역할 액세스 권한을 받으려면 액세스 권한 부여 및 취소를 참고하세요.
자세한 내용은 사전 정의된 역할 설명을 참고하세요.
리소스 모니터링
다음 표에는 모니터링 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 | 유형 |
|---|---|---|---|
| ConfigMap 생성자 | configmap-creator |
프로젝트 네임스페이스에 ConfigMap 객체를 만듭니다. |
Role |
| 대시보드 IO 생성자 | dashboard-io-creator |
프로젝트 네임스페이스에 Dashboard 커스텀 리소스를 만듭니다. |
ClusterRole |
| 대시보드 IO 편집기 | dashboard-io-editor |
프로젝트 네임스페이스에서 Dashboard 커스텀 리소스를 수정합니다. |
ClusterRole |
| 대시보드 IO 뷰어 | dashboard-io-viewer |
프로젝트 네임스페이스에서 Dashboard 커스텀 리소스를 확인합니다. |
ClusterRole |
| MonitoringRule IO Creator | monitoringrule-io-creator |
프로젝트 네임스페이스에 MonitoringRule 커스텀 리소스를 만듭니다. |
ClusterRole |
| MonitoringRule IO 편집자 | monitoringrule-io-editor |
프로젝트 네임스페이스에서 MonitoringRule 커스텀 리소스를 수정합니다. |
ClusterRole |
| MonitoringRule IO Viewer | monitoringrule-io-viewer |
프로젝트 네임스페이스에서 MonitoringRule 커스텀 리소스를 확인합니다. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
프로젝트 네임스페이스에 MonitoringTarget 커스텀 리소스를 만듭니다. |
ClusterRole |
| MonitoringTarget IO Editor | monitoringtarget-io-editor |
프로젝트 네임스페이스에서 MonitoringTarget 커스텀 리소스를 수정합니다. |
ClusterRole |
| MonitoringTarget IO 뷰어 | monitoringtarget-io-viewer |
프로젝트 네임스페이스에서 MonitoringTarget 커스텀 리소스를 확인합니다. |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
프로젝트 네임스페이스에 ObservabilityPipeline 커스텀 리소스를 만듭니다. |
ClusterRole |
| ObservabilityPipeline IO 편집자 | observabilitypipeline-io-editor |
프로젝트 네임스페이스에서 ObservabilityPipeline 커스텀 리소스를 수정합니다. |
ClusterRole |
| ObservabilityPipeline IO 뷰어 | observabilitypipeline-io-viewer |
프로젝트 네임스페이스에서 ObservabilityPipeline 커스텀 리소스를 확인합니다. |
ClusterRole |
| Project Cortex Alertmanager 편집자 | project-cortex-alertmanager-editor |
프로젝트 네임스페이스에서 Cortex Alertmanager 인스턴스를 수정합니다. | Role |
| Project Cortex Alertmanager 뷰어 | project-cortex-alertmanager-viewer |
프로젝트 네임스페이스에서 Cortex Alertmanager 인스턴스에 액세스합니다. | Role |
| Project Cortex Prometheus 뷰어 | project-cortex-prometheus-viewer |
프로젝트 네임스페이스에서 Cortex Prometheus 인스턴스에 액세스합니다. | Role |
| 프로젝트 Grafana 뷰어 | project-grafana-viewer |
Grafana 모니터링 인스턴스의 대시보드에서 프로젝트 관련 관측 가능성 데이터를 시각화합니다. | Role |
| ServiceLevelObjective 뷰어 | servicelevelobjective-viewer |
관리 API 서버에서 ServiceLevelObjective 커스텀 리소스를 시각화합니다. |
ClusterRole |
로깅 리소스
다음 표에는 로깅 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 | 유형 |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
프로젝트 네임스페이스에 AuditLoggingTarget 커스텀 리소스를 만듭니다. |
ClusterRole |
| AuditLoggingTarget IO 편집자 | auditloggingtarget-io-editor |
프로젝트 네임스페이스에서 AuditLoggingTarget 커스텀 리소스를 수정합니다. |
ClusterRole |
| AuditLoggingTarget IO 뷰어 | auditloggingtarget-io-viewer |
프로젝트 네임스페이스에서 AuditLoggingTarget 커스텀 리소스를 확인합니다. |
ClusterRole |
| 감사 로그 백업 복원 생성자 | audit-logs-backup-restore-creator |
백업 전송 작업 구성을 만들고 감사 로그를 복원합니다. | Role |
| 감사 로그 백업 복원 편집자 | audit-logs-backup-restore-editor |
백업 전송 작업 구성을 수정하고 감사 로그를 복원합니다. | Role |
| 감사 로그 인프라 버킷 뷰어 | audit-logs-infra-bucket-viewer |
인프라 감사 로그의 백업 버킷을 봅니다. | Role |
| FluentBit IO Creator | fluentbit-io-creator |
프로젝트 네임스페이스에 FluentBit 커스텀 리소스를 만듭니다. |
ClusterRole |
| FluentBit IO 편집기 | fluentbit-io-editor |
프로젝트 네임스페이스에서 FluentBit 커스텀 리소스를 수정합니다. |
ClusterRole |
| FluentBit IO 뷰어 | fluentbit-io-viewer |
프로젝트 네임스페이스에서 FluentBit 커스텀 리소스를 확인합니다. |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
프로젝트 네임스페이스에 LogCollector 커스텀 리소스를 만듭니다. |
ClusterRole |
| LogCollector IO 편집기 | logcollector-io-editor |
프로젝트 네임스페이스에서 LogCollector 커스텀 리소스를 수정합니다. |
ClusterRole |
| LogCollector IO 뷰어 | logcollector-io-viewer |
프로젝트 네임스페이스에서 LogCollector 커스텀 리소스를 확인합니다. |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
프로젝트 네임스페이스에 LoggingRule 커스텀 리소스를 만듭니다. |
ClusterRole |
| LoggingRule IO Editor | loggingrule-io-editor |
프로젝트 네임스페이스에서 LoggingRule 커스텀 리소스를 수정합니다. |
ClusterRole |
| LoggingRule IO Viewer | loggingrule-io-viewer |
프로젝트 네임스페이스에서 LoggingRule 커스텀 리소스를 확인합니다. |
ClusterRole |
| LoggingTarget IO 생성자 | loggingtarget-io-creator |
프로젝트 네임스페이스에 LoggingTarget 커스텀 리소스를 만듭니다. |
ClusterRole |
| LoggingTarget IO 편집기 | loggingtarget-io-editor |
프로젝트 네임스페이스에서 LoggingTarget 커스텀 리소스를 수정합니다. |
ClusterRole |
| LoggingTarget IO 뷰어 | loggingtarget-io-viewer |
프로젝트 네임스페이스에서 LoggingTarget 커스텀 리소스를 확인합니다. |
ClusterRole |
루트 관리자 클러스터의 사전 정의된 역할
루트 관리자 클러스터에서 로깅 및 모니터링 서비스를 사용하려면 보안 관리자에게 적절한 권한을 요청하세요.
팀 구성원에게 리소스 액세스 권한을 부여하려면 kubeconfig 파일을 사용하여 루트 관리자 클러스터에서 역할 바인딩을 만들어 역할을 할당합니다. 권한을 부여하거나 역할 액세스 권한을 받으려면 액세스 권한 부여 및 취소를 참고하세요.
자세한 내용은 사전 정의된 역할 설명을 참고하세요.
리소스 모니터링
다음 표에는 모니터링 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 | 유형 |
|---|---|---|---|
| 대시보드 생성자 | dashboard-creator |
루트 관리자 클러스터에서 Dashboard 커스텀 리소스를 만듭니다. |
ClusterRole |
| 대시보드 편집기 | dashboard-editor |
루트 관리자 클러스터에서 Dashboard 커스텀 리소스를 수정합니다. |
ClusterRole |
| 대시보드 뷰어 | dashboard-viewer |
루트 관리 클러스터에서 Dashboard 커스텀 리소스를 확인합니다. |
ClusterRole |
| Grafana 뷰어 | grafana-viewer |
루트 관리자 클러스터의 Grafana 모니터링 인스턴스 대시보드에서 관측 가능성 데이터를 시각화합니다. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
루트 관리자 클러스터에서 MonitoringRule 커스텀 리소스를 만듭니다. |
ClusterRole |
| MonitoringRule 편집자 | monitoringrule-editor |
루트 관리자 클러스터에서 MonitoringRule 커스텀 리소스를 수정합니다. |
ClusterRole |
| MonitoringRule 뷰어 | monitoringrule-viewer |
루트 관리 클러스터에서 MonitoringRule 커스텀 리소스를 확인합니다. |
ClusterRole |
| MonitoringTarget 생성자 | monitoringtarget-creator |
루트 관리자 클러스터에서 MonitoringTarget 커스텀 리소스를 만듭니다. |
ClusterRole |
| MonitoringTarget 편집자 | monitoringtarget-editor |
루트 관리자 클러스터에서 MonitoringTarget 커스텀 리소스를 수정합니다. |
ClusterRole |
| MonitoringTarget 뷰어 | monitoringtarget-viewer |
루트 관리 클러스터에서 MonitoringTarget 커스텀 리소스를 확인합니다. |
ClusterRole |
| ObservabilityPipeline 생성자 | observabilitypipeline-creator |
루트 관리자 클러스터에서 ObservabilityPipeline 커스텀 리소스를 만듭니다. |
ClusterRole |
| ObservabilityPipeline 편집자 | observabilitypipeline-editor |
루트 관리자 클러스터에서 ObservabilityPipeline 커스텀 리소스를 수정합니다. |
ClusterRole |
| ObservabilityPipeline 뷰어 | observabilitypipeline-viewer |
루트 관리 클러스터에서 ObservabilityPipeline 커스텀 리소스를 확인합니다. |
ClusterRole |
| 루트 Cortex Alertmanager 편집자 | root-cortex-alertmanager-editor |
루트 관리자 클러스터에서 Cortex Alertmanager 인스턴스를 수정합니다. | Role |
| 루트 Cortex Alertmanager 뷰어 | root-cortex-alertmanager-viewer |
루트 관리자 클러스터에서 Cortex Alertmanager 인스턴스에 액세스합니다. | Role |
| 루트 Cortex Prometheus 뷰어 | root-cortex-prometheus-viewer |
루트 관리자 클러스터에서 Cortex Prometheus 인스턴스에 액세스합니다. | Role |
| ServiceLevelObjective 뷰어 | servicelevelobjective-viewer |
루트 관리자 클러스터에서 ServiceLevelObjective 커스텀 리소스를 시각화합니다. |
ClusterRole |
로깅 리소스
다음 표에는 로깅 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 | 유형 |
|---|---|---|---|
| AuditLoggingTarget 생성자 | auditloggingtarget-creator |
루트 관리자 클러스터에서 AuditLoggingTarget 커스텀 리소스를 만듭니다. |
ClusterRole |
| AuditLoggingTarget 편집기 | auditloggingtarget-editor |
루트 관리자 클러스터에서 AuditLoggingTarget 커스텀 리소스를 수정합니다. |
ClusterRole |
| AuditLoggingTarget 뷰어 | auditloggingtarget-viewer |
루트 관리 클러스터에서 AuditLoggingTarget 커스텀 리소스를 확인합니다. |
ClusterRole |
| 감사 로그 백업 복원 생성자 | audit-logs-backup-restore-creator |
백업 전송 작업 구성을 만들고 감사 로그를 복원합니다. | Role |
| 감사 로그 백업 복원 편집자 | audit-logs-backup-restore-editor |
백업 전송 작업 구성을 수정하고 감사 로그를 복원합니다. | Role |
| 감사 로그 인프라 버킷 뷰어 | audit-logs-infra-bucket-viewer |
인프라 감사 로그의 백업 버킷을 봅니다. | Role |
| FluentBit Creator | fluentbit-creator |
루트 관리자 클러스터에서 FluentBit 커스텀 리소스를 만듭니다. |
ClusterRole |
| FluentBit 편집기 | fluentbit-editor |
루트 관리자 클러스터에서 FluentBit 커스텀 리소스를 수정합니다. |
ClusterRole |
| FluentBit 뷰어 | fluentbit-viewer |
루트 관리 클러스터에서 FluentBit 커스텀 리소스를 확인합니다. |
ClusterRole |
| LogCollector Creator | logcollector-creator |
루트 관리자 클러스터에서 LogCollector 커스텀 리소스를 만듭니다. |
ClusterRole |
| LogCollector 편집자 | logcollector-editor |
루트 관리자 클러스터에서 LogCollector 커스텀 리소스를 수정합니다. |
ClusterRole |
| LogCollector 뷰어 | logcollector-viewer |
루트 관리 클러스터에서 LogCollector 커스텀 리소스를 확인합니다. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
루트 관리자 클러스터에서 LoggingRule 커스텀 리소스를 만듭니다. |
ClusterRole |
| LoggingRule 편집기 | loggingrule-editor |
루트 관리자 클러스터에서 LoggingRule 커스텀 리소스를 수정합니다. |
ClusterRole |
| LoggingRule Viewer | loggingrule-viewer |
루트 관리 클러스터에서 LoggingRule 커스텀 리소스를 확인합니다. |
ClusterRole |
플랫폼 관리자 (PA) 및 애플리케이션 운영자의 IAM 권한
GDC 에어갭 어플라이언스의 IAM은 필요한 액세스 수준에 따라 다음과 같은 두 가지 사전 정의된 PA/AO 역할 유형을 제공합니다.
ClusterRole: 조직 수준에서 권한이 있는 주체에게 권한을 부여합니다. 조직 수준 역할을 사용하면 관리 API 서버의 모든 프로젝트 네임스페이스에 커스텀 리소스를 배포하고 전체 조직의 모든 프로젝트에서 서비스를 사용 설정할 수 있습니다.Role: 역할을 Kubernetes 네임스페이스에 전파하여 프로젝트 수준에서 주체에 권한을 부여합니다. 프로젝트 수준 역할을 사용하면 관리 API 서버의 프로젝트 네임스페이스에 커스텀 리소스를 배포하고 프로젝트 네임스페이스에서만 서비스를 사용 설정할 수 있습니다.
모니터링 또는 로깅 서비스에 액세스하거나 사용할 수 없는 경우 관리자에게 문의하여 필요한 역할을 부여받으세요. 특정 프로젝트의 프로젝트 IAM 관리자에게 적절한 권한을 요청합니다. 조직 수준의 권한이 필요한 경우 조직 IAM 관리자에게 문의하세요.
이 페이지에서는 모니터링 및 로깅 서비스를 사용하는 데 필요한 모든 역할과 각 역할의 권한을 설명합니다.
프로젝트 수준의 사전 정의된 역할
프로젝트에서 로깅 및 모니터링 서비스를 사용하려면 프로젝트 IAM 관리자에게 적절한 권한을 요청하세요. 모든 역할은 서비스를 사용하는 프로젝트 네임스페이스에 바인드되어야 합니다.
프로젝트 수준에서 리소스에 대한 권한을 부여하거나 역할 액세스 권한을 받으려면 프로젝트 리소스에 대한 액세스 권한 부여를 참고하세요.
리소스 모니터링
다음 표에는 모니터링 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 | 유형 |
|---|---|---|---|
| ConfigMap 생성자 | configmap-creator |
프로젝트 네임스페이스에 ConfigMap 객체를 만듭니다. |
Role |
| 대시보드 편집기 | dashboard-editor |
프로젝트 네임스페이스에서 Dashboard 커스텀 리소스를 수정합니다. |
Role |
| 대시보드 뷰어 | dashboard-viewer |
프로젝트 네임스페이스에서 Dashboard 커스텀 리소스를 확인합니다. |
Role |
| MonitoringRule 편집자 | monitoringrule-editor |
프로젝트 네임스페이스에서 MonitoringRule 커스텀 리소스를 수정합니다. |
Role |
| MonitoringRule 뷰어 | monitoringrule-viewer |
프로젝트 네임스페이스에서 MonitoringRule 커스텀 리소스를 확인합니다. |
Role |
| MonitoringTarget 편집자 | monitoringtarget-editor |
프로젝트 네임스페이스에서 MonitoringTarget 커스텀 리소스를 수정합니다. |
Role |
| MonitoringTarget 뷰어 | monitoringtarget-viewer |
프로젝트 네임스페이스에서 MonitoringTarget 커스텀 리소스를 확인합니다. |
Role |
| ObservabilityPipeline 편집자 | observabilitypipeline-editor |
프로젝트 네임스페이스에서 ObservabilityPipeline 커스텀 리소스를 수정합니다. |
Role |
| ObservabilityPipeline 뷰어 | observabilitypipeline-viewer |
프로젝트 네임스페이스에서 ObservabilityPipeline 커스텀 리소스를 확인합니다. |
Role |
| Project Cortex Alertmanager 편집자 | project-cortex-alertmanager-editor |
프로젝트 네임스페이스에서 Cortex Alertmanager 인스턴스를 수정합니다. | Role |
| Project Cortex Alertmanager 뷰어 | project-cortex-alertmanager-viewer |
프로젝트 네임스페이스에서 Cortex Alertmanager 인스턴스에 액세스합니다. | Role |
| Project Cortex Prometheus 뷰어 | project-cortex-prometheus-viewer |
프로젝트 네임스페이스에서 Cortex Prometheus 인스턴스에 액세스합니다. | Role |
| 프로젝트 Grafana 뷰어 | project-grafana-viewer |
Grafana 모니터링 인스턴스의 대시보드에서 프로젝트 관련 관측 가능성 데이터를 시각화합니다. | Role |
로깅 리소스
다음 표에는 로깅 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 | 유형 |
|---|---|---|---|
| 감사 로그 플랫폼 복원 버킷 생성자 | audit-logs-platform-restore-bucket-creator |
플랫폼 감사 로그를 복원할 백업 버킷을 만듭니다. | Role |
| 감사 로그 플랫폼 버킷 뷰어 | audit-logs-platform-bucket-viewer |
플랫폼 감사 로그의 백업 버킷을 봅니다. | Role |
| LoggingRule Creator | loggingrule-creator |
프로젝트 네임스페이스에 LoggingRule 커스텀 리소스를 만듭니다. |
Role |
| LoggingRule 편집기 | loggingrule-editor |
프로젝트 네임스페이스에서 LoggingRule 커스텀 리소스를 수정합니다. |
Role |
| LoggingRule Viewer | loggingrule-viewer |
프로젝트 네임스페이스에서 LoggingRule 커스텀 리소스를 확인합니다. |
Role |
| LoggingTarget Creator | loggingtarget-creator |
프로젝트 네임스페이스에 LoggingTarget 커스텀 리소스를 만듭니다. |
Role |
| LoggingTarget 편집기 | loggingtarget-editor |
프로젝트 네임스페이스에서 LoggingTarget 커스텀 리소스를 수정합니다. |
Role |
| LoggingTarget 뷰어 | loggingtarget-viewer |
프로젝트 네임스페이스에서 LoggingTarget 커스텀 리소스를 확인합니다. |
Role |