Google Distributed Cloud (GDC) 空气隔离设备提供 Identity and Access Management (IAM),可让您授予对特定 GDC 空气隔离设备资源的细化访问权限,并防止对其他资源进行不必要的访问。IAM 遵循最小权限安全原则,并使用 IAM 角色和权限来控制哪些用户可以访问指定资源。
角色是指一组与资源上的特定操作相关联的特定权限,可分配给用户、用户群组或服务账号等各个正文。因此,您必须拥有适当的 IAM 角色和权限,才能在 GDC 气隙式设备上使用监控和日志记录服务。
基础设施操作员的 IAM 权限
GDC 气隙式设备上的 IAM 提供预定义角色类型,您可以在以下访问权限级别获取这些角色:
- 管理 API 服务器:在管理 API 服务器的项目命名空间中,向正文授予在项目级管理自定义资源的权限,以便正文使用日志记录和监控服务。
- 根管理员集群:向正文授予管理根管理员集群中的基础架构资源的权限。
如果您无法访问或使用监控或日志记录服务,请与管理员联系,以便管理员为您授予必要的角色。向 Security Admin 请求适当的权限。
本页介绍了使用监控和日志记录服务的所有角色及其各自的权限。
项目级层的预定义角色
向 Security Admin 请求适当的权限,以便在 Management API 服务器的项目命名空间中设置日志记录和监控,您可以在其中管理可观测性服务的生命周期。
所有角色都必须绑定到您使用该服务的 Management API 服务器的项目命名空间。如需向团队成员授予资源访问权限,请使用管理 API 服务器的 kubeconfig 文件在该服务器上创建角色绑定,以分配角色。如需授予权限或接收角色访问权限,请参阅授予和撤消访问权限。
如需了解详情,请参阅预定义角色说明。
监控资源
下表详细介绍了为监控资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 | 类型 |
|---|---|---|---|
| ConfigMap 创建工具 | configmap-creator |
在项目命名空间中创建 ConfigMap 对象。 |
Role |
| Dashboard IO Creator | dashboard-io-creator |
在项目命名空间中创建 Dashboard 自定义资源。 |
ClusterRole |
| 信息中心 IO 编辑器 | dashboard-io-editor |
修改项目命名空间中的 Dashboard 自定义资源。 |
ClusterRole |
| 信息中心 IO 查看器 | dashboard-io-viewer |
查看项目命名空间中的 Dashboard 自定义资源。 |
ClusterRole |
| MonitoringRule IO Creator | monitoringrule-io-creator |
在项目命名空间中创建 MonitoringRule 自定义资源。 |
ClusterRole |
| MonitoringRule IO Editor | monitoringrule-io-editor |
修改项目命名空间中的 MonitoringRule 自定义资源。 |
ClusterRole |
| MonitoringRule IO 查看器 | monitoringrule-io-viewer |
查看项目命名空间中的 MonitoringRule 自定义资源。 |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
在项目命名空间中创建 MonitoringTarget 自定义资源。 |
ClusterRole |
| MonitoringTarget IO 编辑器 | monitoringtarget-io-editor |
修改项目命名空间中的 MonitoringTarget 自定义资源。 |
ClusterRole |
| MonitoringTarget IO 查看器 | monitoringtarget-io-viewer |
查看项目命名空间中的 MonitoringTarget 自定义资源。 |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
在项目命名空间中创建 ObservabilityPipeline 自定义资源。 |
ClusterRole |
| ObservabilityPipeline IO 编辑器 | observabilitypipeline-io-editor |
修改项目命名空间中的 ObservabilityPipeline 自定义资源。 |
ClusterRole |
| ObservabilityPipeline IO 查看器 | observabilitypipeline-io-viewer |
查看项目命名空间中的 ObservabilityPipeline 自定义资源。 |
ClusterRole |
| Project Cortex Alertmanager 编辑器 | project-cortex-alertmanager-editor |
修改项目命名空间中的 Cortex Alertmanager 实例。 | Role |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
访问项目命名空间中的 Cortex Alertmanager 实例。 | Role |
| Project Cortex Prometheus 查看器 | project-cortex-prometheus-viewer |
访问项目命名空间中的 Cortex Prometheus 实例。 | Role |
| Project Grafana Viewer | project-grafana-viewer |
在 Grafana 监控实例的信息中心内直观呈现与项目相关的可观测性数据。 | Role |
| ServiceLevelObjective Viewer | servicelevelobjective-viewer |
直观呈现 Management API 服务器中的 ServiceLevelObjective 自定义资源。 |
ClusterRole |
日志记录资源
下表详细介绍了为日志记录资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 | 类型 |
|---|---|---|---|
| AuditLoggingTarget IO 创建者 | auditloggingtarget-io-creator |
在项目命名空间中创建 AuditLoggingTarget 自定义资源。 |
ClusterRole |
| AuditLoggingTarget IO 编辑器 | auditloggingtarget-io-editor |
修改项目命名空间中的 AuditLoggingTarget 自定义资源。 |
ClusterRole |
| AuditLoggingTarget IO 查看器 | auditloggingtarget-io-viewer |
查看项目命名空间中的 AuditLoggingTarget 自定义资源。 |
ClusterRole |
| 审核日志备份恢复创建者 | audit-logs-backup-restore-creator |
创建备份转移作业配置并恢复审核日志。 | Role |
| 审核日志备份恢复编辑器 | audit-logs-backup-restore-editor |
修改备份转移作业配置并恢复审核日志。 | Role |
| 审核日志基础架构存储分区查看器 | audit-logs-infra-bucket-viewer |
查看基础架构审核日志的备份存储分区。 | Role |
| FluentBit IO Creator | fluentbit-io-creator |
在项目命名空间中创建 FluentBit 自定义资源。 |
ClusterRole |
| FluentBit IO 编辑器 | fluentbit-io-editor |
修改项目命名空间中的 FluentBit 自定义资源。 |
ClusterRole |
| FluentBit IO 查看器 | fluentbit-io-viewer |
查看项目命名空间中的 FluentBit 自定义资源。 |
ClusterRole |
| LogCollector IO 创建者 | logcollector-io-creator |
在项目命名空间中创建 LogCollector 自定义资源。 |
ClusterRole |
| LogCollector IO 编辑器 | logcollector-io-editor |
修改项目命名空间中的 LogCollector 自定义资源。 |
ClusterRole |
| LogCollector IO 查看器 | logcollector-io-viewer |
查看项目命名空间中的 LogCollector 自定义资源。 |
ClusterRole |
| LoggingRule IO 创建者 | loggingrule-io-creator |
在项目命名空间中创建 LoggingRule 自定义资源。 |
ClusterRole |
| LoggingRule IO 编辑器 | loggingrule-io-editor |
修改项目命名空间中的 LoggingRule 自定义资源。 |
ClusterRole |
| LoggingRule IO 查看器 | loggingrule-io-viewer |
查看项目命名空间中的 LoggingRule 自定义资源。 |
ClusterRole |
| LoggingTarget IO 创建者 | loggingtarget-io-creator |
在项目命名空间中创建 LoggingTarget 自定义资源。 |
ClusterRole |
| LoggingTarget IO 编辑器 | loggingtarget-io-editor |
修改项目命名空间中的 LoggingTarget 自定义资源。 |
ClusterRole |
| LoggingTarget IO 查看器 | loggingtarget-io-viewer |
查看项目命名空间中的 LoggingTarget 自定义资源。 |
ClusterRole |
根管理员集群中的预定义角色
向 Security Admin 请求适当的权限,以便在根管理员集群中使用日志记录和监控服务。
如需向团队成员授予资源访问权限,请使用根管理员集群的 kubeconfig 文件在该集群上创建角色绑定,以分配角色。如需授予权限或接收角色访问权限,请参阅授予和撤消访问权限。
如需了解详情,请参阅预定义角色说明。
监控资源
下表详细介绍了为监控资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 | 类型 |
|---|---|---|---|
| 信息中心创建者 | dashboard-creator |
在根管理员集群中创建 Dashboard 自定义资源。 |
ClusterRole |
| 信息中心编辑器 | dashboard-editor |
在根管理员集群中修改 Dashboard 自定义资源。 |
ClusterRole |
| 信息中心查看器 | dashboard-viewer |
查看根管理员集群中的 Dashboard 自定义资源。 |
ClusterRole |
| Grafana 查看器 | grafana-viewer |
在根管理员集群的 Grafana 监控实例的信息中心内直观呈现可观测性数据。 | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
在根管理员集群中创建 MonitoringRule 自定义资源。 |
ClusterRole |
| MonitoringRule 编辑器 | monitoringrule-editor |
在根管理员集群中修改 MonitoringRule 自定义资源。 |
ClusterRole |
| MonitoringRule 查看器 | monitoringrule-viewer |
查看根管理员集群中的 MonitoringRule 自定义资源。 |
ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
在根管理员集群中创建 MonitoringTarget 自定义资源。 |
ClusterRole |
| MonitoringTarget 编辑器 | monitoringtarget-editor |
在根管理员集群中修改 MonitoringTarget 自定义资源。 |
ClusterRole |
| MonitoringTarget 查看器 | monitoringtarget-viewer |
查看根管理员集群中的 MonitoringTarget 自定义资源。 |
ClusterRole |
| ObservabilityPipeline Creator | observabilitypipeline-creator |
在根管理员集群中创建 ObservabilityPipeline 自定义资源。 |
ClusterRole |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
在根管理员集群中修改 ObservabilityPipeline 自定义资源。 |
ClusterRole |
| ObservabilityPipeline Viewer | observabilitypipeline-viewer |
查看根管理员集群中的 ObservabilityPipeline 自定义资源。 |
ClusterRole |
| Root Cortex Alertmanager 编辑者 | root-cortex-alertmanager-editor |
修改根管理员集群中的 Cortex Alertmanager 实例。 | Role |
| Root Cortex Alertmanager Viewer | root-cortex-alertmanager-viewer |
访问根管理员集群中的 Cortex Alertmanager 实例。 | Role |
| 根 Cortex Prometheus 查看器 | root-cortex-prometheus-viewer |
访问根管理员集群中的 Cortex Prometheus 实例。 | Role |
| ServiceLevelObjective Viewer | servicelevelobjective-viewer |
直观呈现根管理员集群中的 ServiceLevelObjective 自定义资源。 |
ClusterRole |
日志记录资源
下表详细介绍了为日志记录资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 | 类型 |
|---|---|---|---|
| AuditLoggingTarget Creator | auditloggingtarget-creator |
在根管理员集群中创建 AuditLoggingTarget 自定义资源。 |
ClusterRole |
| AuditLoggingTarget 编辑器 | auditloggingtarget-editor |
在根管理员集群中修改 AuditLoggingTarget 自定义资源。 |
ClusterRole |
| AuditLoggingTarget 查看器 | auditloggingtarget-viewer |
查看根管理员集群中的 AuditLoggingTarget 自定义资源。 |
ClusterRole |
| 审核日志备份恢复创建者 | audit-logs-backup-restore-creator |
创建备份转移作业配置并恢复审核日志。 | Role |
| 审核日志备份恢复编辑器 | audit-logs-backup-restore-editor |
修改备份转移作业配置并恢复审核日志。 | Role |
| 审核日志基础架构存储分区查看器 | audit-logs-infra-bucket-viewer |
查看基础架构审核日志的备份存储分区。 | Role |
| FluentBit Creator | fluentbit-creator |
在根管理员集群中创建 FluentBit 自定义资源。 |
ClusterRole |
| FluentBit 编辑器 | fluentbit-editor |
在根管理员集群中修改 FluentBit 自定义资源。 |
ClusterRole |
| FluentBit Viewer | fluentbit-viewer |
查看根管理员集群中的 FluentBit 自定义资源。 |
ClusterRole |
| LogCollector 创建者 | logcollector-creator |
在根管理员集群中创建 LogCollector 自定义资源。 |
ClusterRole |
| LogCollector 编辑器 | logcollector-editor |
在根管理员集群中修改 LogCollector 自定义资源。 |
ClusterRole |
| LogCollector 查看器 | logcollector-viewer |
查看根管理员集群中的 LogCollector 自定义资源。 |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
在根管理员集群中创建 LoggingRule 自定义资源。 |
ClusterRole |
| LoggingRule 编辑器 | loggingrule-editor |
在根管理员集群中修改 LoggingRule 自定义资源。 |
ClusterRole |
| LoggingRule 查看者 | loggingrule-viewer |
查看根管理员集群中的 LoggingRule 自定义资源。 |
ClusterRole |
平台管理员 (PA) 和应用运营者的 IAM 权限
GDC 气隙设备上的 IAM 提供以下两种预定义的 PA/AO 角色类型,具体取决于您需要的访问权限级别:
ClusterRole:向正文授予组织级权限。借助组织级角色,您可以在 Management API 服务器的所有项目命名空间中部署自定义资源,并启用整个组织的所有项目中的服务。Role:通过将角色传播到 Kubernetes 命名空间,在项目级层面向正文授予权限。 借助项目级角色,您可以将自定义资源部署到 Management API 服务器的项目命名空间中,并仅在您的项目命名空间中启用服务。
如果您无法访问或使用监控或日志记录服务,请与管理员联系,以便管理员为您授予必要的角色。向项目 IAM 管理员请求获取给定项目的相应权限。如果您需要组织级层的权限,请改向组织 IAM 管理员提出申请。
本页介绍了使用监控和日志记录服务的所有角色及其各自的权限。
项目级层的预定义角色
向项目 IAM 管理员请求适当的权限,以便在项目中使用日志记录和监控服务。所有角色都必须绑定到您使用服务的项目命名空间。
如需在项目级层授予对资源的权限或接收对资源的访问权限,请参阅授予对项目资源的访问权限。
监控资源
下表详细介绍了为监控资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 | 类型 |
|---|---|---|---|
| ConfigMap 创建工具 | configmap-creator |
在项目命名空间中创建 ConfigMap 对象。 |
Role |
| 信息中心编辑器 | dashboard-editor |
修改项目命名空间中的 Dashboard 自定义资源。 |
Role |
| 信息中心查看器 | dashboard-viewer |
查看项目命名空间中的 Dashboard 自定义资源。 |
Role |
| MonitoringRule 编辑器 | monitoringrule-editor |
修改项目命名空间中的 MonitoringRule 自定义资源。 |
Role |
| MonitoringRule 查看器 | monitoringrule-viewer |
查看项目命名空间中的 MonitoringRule 自定义资源。 |
Role |
| MonitoringTarget 编辑器 | monitoringtarget-editor |
修改项目命名空间中的 MonitoringTarget 自定义资源。 |
Role |
| MonitoringTarget 查看器 | monitoringtarget-viewer |
查看项目命名空间中的 MonitoringTarget 自定义资源。 |
Role |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
修改项目命名空间中的 ObservabilityPipeline 自定义资源。 |
Role |
| ObservabilityPipeline Viewer | observabilitypipeline-viewer |
查看项目命名空间中的 ObservabilityPipeline 自定义资源。 |
Role |
| Project Cortex Alertmanager 编辑器 | project-cortex-alertmanager-editor |
修改项目命名空间中的 Cortex Alertmanager 实例。 | Role |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
访问项目命名空间中的 Cortex Alertmanager 实例。 | Role |
| Project Cortex Prometheus 查看器 | project-cortex-prometheus-viewer |
访问项目命名空间中的 Cortex Prometheus 实例。 | Role |
| Project Grafana Viewer | project-grafana-viewer |
在 Grafana 监控实例的信息中心内直观呈现与项目相关的可观测性数据。 | Role |
日志记录资源
下表详细介绍了为日志记录资源分配给每个预定义角色的权限:
| 角色名称 | Kubernetes 资源名称 | 权限说明 | 类型 |
|---|---|---|---|
| Audit Logs Platform Restore Bucket Creator | audit-logs-platform-restore-bucket-creator |
创建备份存储分区以恢复平台审核日志。 | Role |
| Audit Logs Platform Bucket Viewer | audit-logs-platform-bucket-viewer |
查看平台审核日志的备份存储分区。 | Role |
| LoggingRule Creator | loggingrule-creator |
在项目命名空间中创建 LoggingRule 自定义资源。 |
Role |
| LoggingRule 编辑器 | loggingrule-editor |
修改项目命名空间中的 LoggingRule 自定义资源。 |
Role |
| LoggingRule 查看者 | loggingrule-viewer |
查看项目命名空间中的 LoggingRule 自定义资源。 |
Role |
| LoggingTarget 创建者 | loggingtarget-creator |
在项目命名空间中创建 LoggingTarget 自定义资源。 |
Role |
| LoggingTarget 编辑器 | loggingtarget-editor |
修改项目命名空间中的 LoggingTarget 自定义资源。 |
Role |
| LoggingTarget 查看器 | loggingtarget-viewer |
查看项目命名空间中的 LoggingTarget 自定义资源。 |
Role |