O appliance isolado do Google Distributed Cloud (GDC) oferece Identity and Access Management (IAM) para acesso granular a recursos específicos do appliance isolado do GDC e impede o acesso indesejado a outros recursos. O IAM opera com o princípio de segurança de privilégio mínimo e controla quem pode acessar determinados recursos usando papéis e permissões do IAM.
Um papel é um conjunto de permissões específicas mapeadas para determinadas ações em recursos e atribuídas a assuntos individuais, como usuários, grupos de usuários ou contas de serviço. Portanto, é preciso ter as funções e permissões adequadas do IAM para usar os serviços de monitoramento e geração de registros no appliance isolado do GDC.
Permissões do IAM para o operador de infraestrutura
O IAM no appliance isolado do GDC oferece tipos de papéis predefinidos que podem ser obtidos nos seguintes níveis de acesso:
- Servidor da API Management: conceda a um assunto permissões para gerenciar recursos personalizados no nível do projeto no namespace do projeto do servidor da API Management em que ele quer usar serviços de geração de registros e monitoramento.
- Cluster de administrador raiz: conceda a um assunto permissões para gerenciar recursos de infraestrutura no cluster de administrador raiz.
Se você não conseguir acessar ou usar um serviço de monitoramento ou geração de registros, entre em contato com seu administrador para receber as funções necessárias. Solicite as permissões adequadas ao administrador de segurança.
Nesta página, descrevemos todos os papéis e as respectivas permissões para usar os serviços de monitoramento e geração de registros.
Papéis predefinidos no nível do projeto
Peça ao administrador de segurança as permissões adequadas para configurar o registro em log e o monitoramento no namespace do projeto do servidor da API Management em que você quer gerenciar o ciclo de vida dos serviços de observabilidade.
Todos os papéis precisam ser vinculados ao namespace do projeto do servidor da API Management em que você está usando o serviço. Para conceder acesso aos recursos aos membros da equipe, atribua papéis criando vinculações de papéis no servidor da API Management usando o arquivo kubeconfig. Para conceder permissões ou receber acesso a papéis, consulte Conceder e revogar acesso.
Para mais informações, consulte Descrições de papéis predefinidos.
Recursos de monitoramento
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de monitoramento:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de ConfigMap | configmap-creator |
Crie objetos ConfigMap no namespace do projeto. |
Role |
| Criador de E/S de painel | dashboard-io-creator |
Crie recursos personalizados Dashboard no namespace do projeto. |
ClusterRole |
| Editor de E/S do painel | dashboard-io-editor |
Edite ou modifique recursos personalizados Dashboard no namespace do projeto. |
ClusterRole |
| Leitor de E/S do painel | dashboard-io-viewer |
Veja os recursos personalizados Dashboard no namespace do projeto. |
ClusterRole |
| Criador de IO MonitoringRule | monitoringrule-io-creator |
Crie recursos personalizados MonitoringRule no namespace do projeto. |
ClusterRole |
| Editor de E/S do MonitoringRule | monitoringrule-io-editor |
Edite ou modifique recursos personalizados MonitoringRule no namespace do projeto. |
ClusterRole |
| Visualizador de E/S do MonitoringRule | monitoringrule-io-viewer |
Veja os recursos personalizados MonitoringRule no namespace do projeto. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Crie recursos personalizados MonitoringTarget no namespace do projeto. |
ClusterRole |
| Editor de E/S do MonitoringTarget | monitoringtarget-io-editor |
Edite ou modifique recursos personalizados MonitoringTarget no namespace do projeto. |
ClusterRole |
| Leitor de IO MonitoringTarget | monitoringtarget-io-viewer |
Veja os recursos personalizados MonitoringTarget no namespace do projeto. |
ClusterRole |
| Criador de E/S do ObservabilityPipeline | observabilitypipeline-io-creator |
Crie recursos personalizados ObservabilityPipeline no namespace do projeto. |
ClusterRole |
| Editor de E/S do ObservabilityPipeline | observabilitypipeline-io-editor |
Edite ou modifique recursos personalizados ObservabilityPipeline no namespace do projeto. |
ClusterRole |
| Leitor de E/S do ObservabilityPipeline | observabilitypipeline-io-viewer |
Veja os recursos personalizados ObservabilityPipeline no namespace do projeto. |
ClusterRole |
| Editor do Alertmanager do Project Cortex | project-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no namespace do projeto. | Role |
| Leitor do Alertmanager do Project Cortex | project-cortex-alertmanager-viewer |
Acesse a instância do Cortex Alertmanager no namespace do projeto. | Role |
| Leitor do Prometheus do Project Cortex | project-cortex-prometheus-viewer |
Acesse a instância do Cortex Prometheus no namespace do projeto. | Role |
| Leitor do Grafana do projeto | project-grafana-viewer |
Visualize dados de observabilidade relacionados ao projeto nos painéis da instância de monitoramento do Grafana. | Role |
| Leitor de ServiceLevelObjective | servicelevelobjective-viewer |
Visualize recursos personalizados ServiceLevelObjective no servidor da API Management. |
ClusterRole |
Recursos do Logging
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de geração de registros:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de E/S AuditLoggingTarget | auditloggingtarget-io-creator |
Crie recursos personalizados AuditLoggingTarget no namespace do projeto. |
ClusterRole |
| Editor de E/S do AuditLoggingTarget | auditloggingtarget-io-editor |
Edite ou modifique recursos personalizados AuditLoggingTarget no namespace do projeto. |
ClusterRole |
| Leitor de E/S do AuditLoggingTarget | auditloggingtarget-io-viewer |
Veja os recursos personalizados AuditLoggingTarget no namespace do projeto. |
ClusterRole |
| Criador de backup e restauração de registros de auditoria | audit-logs-backup-restore-creator |
Crie uma configuração de job de transferência de backup e restaure os registros de auditoria. | Role |
| Editor de restauração de backup de registros de auditoria | audit-logs-backup-restore-editor |
Edite a configuração do job de transferência de backup e restaure os registros de auditoria. | Role |
| Leitor de buckets de infraestrutura de registros de auditoria | audit-logs-infra-bucket-viewer |
Acessar buckets de backup de registros de auditoria da infraestrutura. | Role |
| Criador de E/S do FluentBit | fluentbit-io-creator |
Crie recursos personalizados FluentBit no namespace do projeto. |
ClusterRole |
| Editor de E/S do FluentBit | fluentbit-io-editor |
Edite ou modifique recursos personalizados FluentBit no namespace do projeto. |
ClusterRole |
| Leitor de E/S do FluentBit | fluentbit-io-viewer |
Veja os recursos personalizados FluentBit no namespace do projeto. |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
Crie recursos personalizados LogCollector no namespace do projeto. |
ClusterRole |
| Editor de E/S do LogCollector | logcollector-io-editor |
Edite ou modifique recursos personalizados LogCollector no namespace do projeto. |
ClusterRole |
| Visualizador de E/S do LogCollector | logcollector-io-viewer |
Veja os recursos personalizados LogCollector no namespace do projeto. |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
Crie recursos personalizados LoggingRule no namespace do projeto. |
ClusterRole |
| Editor de E/S LoggingRule | loggingrule-io-editor |
Edite ou modifique recursos personalizados LoggingRule no namespace do projeto. |
ClusterRole |
| Leitor de IO LoggingRule | loggingrule-io-viewer |
Veja os recursos personalizados LoggingRule no namespace do projeto. |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
Crie recursos personalizados LoggingTarget no namespace do projeto. |
ClusterRole |
| Editor de E/S LoggingTarget | loggingtarget-io-editor |
Edite ou modifique recursos personalizados LoggingTarget no namespace do projeto. |
ClusterRole |
| Visualizador de E/S do LoggingTarget | loggingtarget-io-viewer |
Veja os recursos personalizados LoggingTarget no namespace do projeto. |
ClusterRole |
Funções predefinidas no cluster de administrador raiz
Peça ao administrador de segurança as permissões adequadas para usar os serviços de geração de registros e monitoramento no cluster de administrador raiz.
Para conceder acesso aos recursos aos membros da equipe, atribua funções criando vinculações de função no cluster de administrador raiz usando o arquivo kubeconfig dele. Para conceder permissões ou receber acesso a papéis, consulte Conceder e revogar acesso.
Para mais informações, consulte Descrições de papéis predefinidos.
Recursos de monitoramento
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de monitoramento:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de painéis | dashboard-creator |
Crie recursos personalizados Dashboard no cluster de administrador raiz. |
ClusterRole |
| Editor de painel | dashboard-editor |
Edite ou modifique recursos personalizados Dashboard no cluster de administrador raiz. |
ClusterRole |
| Leitor de painéis | dashboard-viewer |
Veja os recursos personalizados Dashboard no cluster de administrador raiz. |
ClusterRole |
| Leitor do Grafana | grafana-viewer |
Visualize os dados de observabilidade nos painéis da instância de monitoramento do Grafana no cluster de administrador raiz. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
Crie recursos personalizados MonitoringRule no cluster de administrador raiz. |
ClusterRole |
| Editor do MonitoringRule | monitoringrule-editor |
Edite ou modifique recursos personalizados MonitoringRule no cluster de administrador raiz. |
ClusterRole |
| Leitor de MonitoringRule | monitoringrule-viewer |
Veja os recursos personalizados MonitoringRule no cluster de administrador raiz. |
ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
Crie recursos personalizados MonitoringTarget no cluster de administrador raiz. |
ClusterRole |
| Editor do MonitoringTarget | monitoringtarget-editor |
Edite ou modifique recursos personalizados MonitoringTarget no cluster de administrador raiz. |
ClusterRole |
| Leitor do MonitoringTarget | monitoringtarget-viewer |
Veja os recursos personalizados MonitoringTarget no cluster de administrador raiz. |
ClusterRole |
| Criador do ObservabilityPipeline | observabilitypipeline-creator |
Crie recursos personalizados ObservabilityPipeline no cluster de administrador raiz. |
ClusterRole |
| Editor do ObservabilityPipeline | observabilitypipeline-editor |
Edite ou modifique recursos personalizados ObservabilityPipeline no cluster de administrador raiz. |
ClusterRole |
| Leitor do ObservabilityPipeline | observabilitypipeline-viewer |
Veja os recursos personalizados ObservabilityPipeline no cluster de administrador raiz. |
ClusterRole |
| Editor do Alertmanager do Cortex raiz | root-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no cluster de administrador raiz. | Role |
| Leitor do Root Cortex Alertmanager | root-cortex-alertmanager-viewer |
Acesse a instância do Cortex Alertmanager no cluster de administrador raiz. | Role |
| Visualizador do Prometheus do Cortex raiz | root-cortex-prometheus-viewer |
Acesse a instância do Cortex Prometheus no cluster de administrador raiz. | Role |
| Leitor de ServiceLevelObjective | servicelevelobjective-viewer |
Visualize recursos personalizados ServiceLevelObjective no cluster de administrador raiz. |
ClusterRole |
Recursos do Logging
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de geração de registros:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de AuditLoggingTarget | auditloggingtarget-creator |
Crie recursos personalizados AuditLoggingTarget no cluster de administrador raiz. |
ClusterRole |
| Editor do AuditLoggingTarget | auditloggingtarget-editor |
Edite ou modifique recursos personalizados AuditLoggingTarget no cluster de administrador raiz. |
ClusterRole |
| Leitor do AuditLoggingTarget | auditloggingtarget-viewer |
Veja os recursos personalizados AuditLoggingTarget no cluster de administrador raiz. |
ClusterRole |
| Criador de backup e restauração de registros de auditoria | audit-logs-backup-restore-creator |
Crie uma configuração de job de transferência de backup e restaure os registros de auditoria. | Role |
| Editor de restauração de backup de registros de auditoria | audit-logs-backup-restore-editor |
Edite a configuração do job de transferência de backup e restaure os registros de auditoria. | Role |
| Leitor de buckets de infraestrutura de registros de auditoria | audit-logs-infra-bucket-viewer |
Acessar buckets de backup de registros de auditoria da infraestrutura. | Role |
| Criador do FluentBit | fluentbit-creator |
Crie recursos personalizados FluentBit no cluster de administrador raiz. |
ClusterRole |
| Editor do FluentBit | fluentbit-editor |
Edite ou modifique recursos personalizados FluentBit no cluster de administrador raiz. |
ClusterRole |
| Leitor do FluentBit | fluentbit-viewer |
Veja os recursos personalizados FluentBit no cluster de administrador raiz. |
ClusterRole |
| Criador de LogCollector | logcollector-creator |
Crie recursos personalizados LogCollector no cluster de administrador raiz. |
ClusterRole |
| Editor do LogCollector | logcollector-editor |
Edite ou modifique recursos personalizados LogCollector no cluster de administrador raiz. |
ClusterRole |
| Leitor do LogCollector | logcollector-viewer |
Veja os recursos personalizados LogCollector no cluster de administrador raiz. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Crie recursos personalizados LoggingRule no cluster de administrador raiz. |
ClusterRole |
| Editor de LoggingRule | loggingrule-editor |
Edite ou modifique recursos personalizados LoggingRule no cluster de administrador raiz. |
ClusterRole |
| Leitor de LoggingRule | loggingrule-viewer |
Veja os recursos personalizados LoggingRule no cluster de administrador raiz. |
ClusterRole |
Permissões do IAM para administrador da plataforma (PA) e operador de aplicativos
O IAM no dispositivo isolado do GDC oferece os dois tipos de papéis predefinidos de PA/AO a seguir, dependendo do nível de acesso necessário:
ClusterRole: concede a um assunto permissões no nível da organização. Com os papéis no nível da organização, é possível implantar recursos personalizados em todos os namespaces de projeto do servidor da API Management e ativar serviços em todos os projetos da organização.Role: conceda a um assunto permissões no nível do projeto propagando papéis para namespaces do Kubernetes. Com os papéis no nível do projeto, é possível implantar recursos personalizados no namespace do projeto do servidor da API Management e ativar serviços somente no namespace do projeto.
Se você não conseguir acessar ou usar um serviço de monitoramento ou geração de registros, entre em contato com seu administrador para receber as funções necessárias. Solicite as permissões adequadas ao administrador do IAM do projeto. Se você precisar de permissões no nível da organização, peça ao administrador do IAM da organização.
Nesta página, descrevemos todos os papéis e as respectivas permissões para usar os serviços de monitoramento e geração de registros.
Papéis predefinidos no nível do projeto
Peça as permissões adequadas ao administrador do IAM do projeto para usar os serviços de geração de registros e monitoramento em um projeto. Todas as funções precisam ser vinculadas ao namespace do projeto em que você está usando o serviço.
Para conceder permissões ou receber acesso a recursos no nível do projeto, consulte Conceder acesso a recursos do projeto.
Recursos de monitoramento
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de monitoramento:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de ConfigMap | configmap-creator |
Crie objetos ConfigMap no namespace do projeto. |
Role |
| Editor de painel | dashboard-editor |
Edite ou modifique recursos personalizados Dashboard no namespace do projeto. |
Role |
| Leitor de painéis | dashboard-viewer |
Veja os recursos personalizados Dashboard no namespace do projeto. |
Role |
| Editor do MonitoringRule | monitoringrule-editor |
Edite ou modifique recursos personalizados MonitoringRule no namespace do projeto. |
Role |
| Leitor de MonitoringRule | monitoringrule-viewer |
Veja os recursos personalizados MonitoringRule no namespace do projeto. |
Role |
| Editor do MonitoringTarget | monitoringtarget-editor |
Edite ou modifique recursos personalizados MonitoringTarget no namespace do projeto. |
Role |
| Leitor do MonitoringTarget | monitoringtarget-viewer |
Veja os recursos personalizados MonitoringTarget no namespace do projeto. |
Role |
| Editor do ObservabilityPipeline | observabilitypipeline-editor |
Edite ou modifique recursos personalizados ObservabilityPipeline no namespace do projeto. |
Role |
| Leitor do ObservabilityPipeline | observabilitypipeline-viewer |
Veja os recursos personalizados ObservabilityPipeline no namespace do projeto. |
Role |
| Editor do Alertmanager do Project Cortex | project-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no namespace do projeto. | Role |
| Leitor do Alertmanager do Project Cortex | project-cortex-alertmanager-viewer |
Acesse a instância do Cortex Alertmanager no namespace do projeto. | Role |
| Leitor do Prometheus do Project Cortex | project-cortex-prometheus-viewer |
Acesse a instância do Cortex Prometheus no namespace do projeto. | Role |
| Leitor do Grafana do projeto | project-grafana-viewer |
Visualize dados de observabilidade relacionados ao projeto nos painéis da instância de monitoramento do Grafana. | Role |
Recursos do Logging
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de geração de registros:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de bucket de restauração da plataforma de registros de auditoria | audit-logs-platform-restore-bucket-creator |
Crie buckets de backup para restaurar os registros de auditoria da plataforma. | Role |
| Leitor do bucket da plataforma de registros de auditoria | audit-logs-platform-bucket-viewer |
Acessar buckets de backup de registros de auditoria da plataforma. | Role |
| LoggingRule Creator | loggingrule-creator |
Crie recursos personalizados LoggingRule no namespace do projeto. |
Role |
| Editor de LoggingRule | loggingrule-editor |
Edite ou modifique recursos personalizados LoggingRule no namespace do projeto. |
Role |
| Leitor de LoggingRule | loggingrule-viewer |
Veja os recursos personalizados LoggingRule no namespace do projeto. |
Role |
| LoggingTarget Creator | loggingtarget-creator |
Crie recursos personalizados LoggingTarget no namespace do projeto. |
Role |
| Editor do LoggingTarget | loggingtarget-editor |
Edite ou modifique recursos personalizados LoggingTarget no namespace do projeto. |
Role |
| Leitor do LoggingTarget | loggingtarget-viewer |
Veja os recursos personalizados LoggingTarget no namespace do projeto. |
Role |