Google Distributed Cloud (GDC) air-gapped 裝置提供身分與存取權管理 (IAM) 功能,可精細劃分特定 GDC air-gapped 裝置資源的存取權限,同時避免其他資源遭到未經授權者擅自存取。IAM 遵循最低權限的安全性原則,並使用 IAM 角色和權限,控管哪些使用者可以存取特定資源。
角色是一組特定權限,會對應至資源的特定動作,並指派給個別主體,例如使用者、使用者群組或服務帳戶。因此,您必須具備適當的 IAM 角色和權限,才能在 GDC 氣隙式裝置上使用監控和記錄服務。
基礎架構運算子的 IAM 權限
GDC 氣隙式裝置上的 IAM 提供預先定義的角色類型,您可以在下列存取層級取得這些角色:
如果無法存取或使用監控或記錄服務,請與管理員聯絡,要求授予必要角色。向安全管理員要求適當權限。
本頁面說明使用監控和記錄服務的所有角色及其各自的權限。
專案層級的預先定義角色
向安全管理員要求適當的權限,以便在要管理可觀測性服務生命週期的 Management API 伺服器專案命名空間中,設定記錄和監控功能。
所有角色都必須繫結至您使用服務的 Management API 伺服器專案命名空間。如要授予團隊成員資源存取權,請使用 kubeconfig 檔案在 Management API 伺服器上建立角色繫結,藉此指派角色。如要授予權限或取得角色存取權,請參閱「授予及撤銷存取權」。
詳情請參閱預先定義的角色說明。
監控資源
下表詳細列出各個預先定義角色在監控資源時的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| ConfigMap 建立者 | configmap-creator |
在專案命名空間中建立 ConfigMap 物件。 |
Role |
| Dashboard IO Creator | dashboard-io-creator |
在專案命名空間中建立 Dashboard 自訂資源。 |
ClusterRole |
| 資訊主頁 IO 編輯者 | dashboard-io-editor |
編輯或修改專案命名空間中的Dashboard自訂資源。 |
ClusterRole |
| 資訊主頁 IO 檢視者 | dashboard-io-viewer |
查看專案命名空間中的Dashboard自訂資源。 |
ClusterRole |
| MonitoringRule IO 建立者 | monitoringrule-io-creator |
在專案命名空間中建立 MonitoringRule 自訂資源。 |
ClusterRole |
| MonitoringRule IO 編輯者 | monitoringrule-io-editor |
編輯或修改專案命名空間中的MonitoringRule自訂資源。 |
ClusterRole |
| MonitoringRule IO 檢視者 | monitoringrule-io-viewer |
查看專案命名空間中的MonitoringRule自訂資源。 |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
在專案命名空間中建立 MonitoringTarget 自訂資源。 |
ClusterRole |
| MonitoringTarget IO 編輯者 | monitoringtarget-io-editor |
編輯或修改專案命名空間中的MonitoringTarget自訂資源。 |
ClusterRole |
| MonitoringTarget IO Viewer | monitoringtarget-io-viewer |
查看專案命名空間中的MonitoringTarget自訂資源。 |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
在專案命名空間中建立 ObservabilityPipeline 自訂資源。 |
ClusterRole |
| ObservabilityPipeline IO 編輯者 | observabilitypipeline-io-editor |
編輯或修改專案命名空間中的ObservabilityPipeline自訂資源。 |
ClusterRole |
| ObservabilityPipeline IO 檢視者 | observabilitypipeline-io-viewer |
查看專案命名空間中的ObservabilityPipeline自訂資源。 |
ClusterRole |
| Project Cortex Alertmanager 編輯者 | project-cortex-alertmanager-editor |
在專案命名空間中編輯 Cortex Alertmanager 執行個體。 | Role |
| Project Cortex Alertmanager 檢視者 | project-cortex-alertmanager-viewer |
存取專案命名空間中的 Cortex Alertmanager 執行個體。 | Role |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
存取專案命名空間中的 Cortex Prometheus 執行個體。 | Role |
| 專案 Grafana 檢視者 | project-grafana-viewer |
在 Grafana 監控執行個體的資訊主頁上,以視覺化方式呈現專案相關的可觀測性資料。 | Role |
| ServiceLevelObjective 檢視者 | servicelevelobjective-viewer |
在 Management API 伺服器中,以視覺化方式呈現 ServiceLevelObjective 自訂資源。 |
ClusterRole |
記錄資源
下表詳細列出指派給記錄資源各預先定義角色的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
在專案命名空間中建立 AuditLoggingTarget 自訂資源。 |
ClusterRole |
| AuditLoggingTarget IO 編輯者 | auditloggingtarget-io-editor |
編輯或修改專案命名空間中的AuditLoggingTarget自訂資源。 |
ClusterRole |
| AuditLoggingTarget IO Viewer | auditloggingtarget-io-viewer |
查看專案命名空間中的AuditLoggingTarget自訂資源。 |
ClusterRole |
| 稽核記錄備份還原建立者 | audit-logs-backup-restore-creator |
建立備份轉移工作設定,並還原稽核記錄。 | Role |
| 稽核記錄備份還原編輯器 | audit-logs-backup-restore-editor |
編輯備份轉移工作設定,以及還原稽核記錄。 | Role |
| 稽核記錄基礎架構值區檢視者 | audit-logs-infra-bucket-viewer |
查看基礎架構稽核記錄的備份 bucket。 | Role |
| FluentBit IO Creator | fluentbit-io-creator |
在專案命名空間中建立 FluentBit 自訂資源。 |
ClusterRole |
| FluentBit IO 編輯器 | fluentbit-io-editor |
編輯或修改專案命名空間中的FluentBit自訂資源。 |
ClusterRole |
| FluentBit IO 檢視者 | fluentbit-io-viewer |
查看專案命名空間中的FluentBit自訂資源。 |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
在專案命名空間中建立 LogCollector 自訂資源。 |
ClusterRole |
| LogCollector IO Editor | logcollector-io-editor |
編輯或修改專案命名空間中的LogCollector自訂資源。 |
ClusterRole |
| LogCollector IO Viewer | logcollector-io-viewer |
查看專案命名空間中的LogCollector自訂資源。 |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
在專案命名空間中建立 LoggingRule 自訂資源。 |
ClusterRole |
| LoggingRule IO Editor | loggingrule-io-editor |
編輯或修改專案命名空間中的LoggingRule自訂資源。 |
ClusterRole |
| LoggingRule IO Viewer | loggingrule-io-viewer |
查看專案命名空間中的LoggingRule自訂資源。 |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
在專案命名空間中建立 LoggingTarget 自訂資源。 |
ClusterRole |
| LoggingTarget IO 編輯者 | loggingtarget-io-editor |
編輯或修改專案命名空間中的LoggingTarget自訂資源。 |
ClusterRole |
| LoggingTarget IO Viewer | loggingtarget-io-viewer |
查看專案命名空間中的LoggingTarget自訂資源。 |
ClusterRole |
根管理員叢集中的預先定義角色
向安全管理員要求適當的權限,以便在根管理員叢集中使用記錄和監控服務。
如要授予團隊成員資源存取權,請使用根管理員叢集的 kubeconfig 檔案,在該叢集上建立角色繫結,然後指派角色。如要授予權限或取得角色存取權,請參閱「授予及撤銷存取權」一文。
詳情請參閱預先定義的角色說明。
監控資源
下表詳細列出各個預先定義角色在監控資源時的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| 資訊主頁建立者 | dashboard-creator |
在根管理員叢集中建立 Dashboard 自訂資源。 |
ClusterRole |
| 資訊主頁編輯器 | dashboard-editor |
在根管理員叢集中編輯或修改 Dashboard 自訂資源。 |
ClusterRole |
| 資訊主頁檢視者 | dashboard-viewer |
在根管理員叢集中查看 Dashboard 自訂資源。 |
ClusterRole |
| Grafana 檢視者 | grafana-viewer |
在根管理叢集的 Grafana 監控執行個體資訊主頁上,以視覺化方式呈現可觀測性資料。 | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
在根管理員叢集中建立 MonitoringRule 自訂資源。 |
ClusterRole |
| MonitoringRule 編輯者 | monitoringrule-editor |
在根管理員叢集中編輯或修改 MonitoringRule 自訂資源。 |
ClusterRole |
| MonitoringRule 檢視者 | monitoringrule-viewer |
在根管理員叢集中查看 MonitoringRule 自訂資源。 |
ClusterRole |
| 監控目標創作者 | monitoringtarget-creator |
在根管理員叢集中建立 MonitoringTarget 自訂資源。 |
ClusterRole |
| MonitoringTarget 編輯者 | monitoringtarget-editor |
在根管理員叢集中編輯或修改 MonitoringTarget 自訂資源。 |
ClusterRole |
| MonitoringTarget Viewer | monitoringtarget-viewer |
在根管理員叢集中查看 MonitoringTarget 自訂資源。 |
ClusterRole |
| ObservabilityPipeline 建立者 | observabilitypipeline-creator |
在根管理員叢集中建立 ObservabilityPipeline 自訂資源。 |
ClusterRole |
| ObservabilityPipeline 編輯者 | observabilitypipeline-editor |
在根管理員叢集中編輯或修改 ObservabilityPipeline 自訂資源。 |
ClusterRole |
| ObservabilityPipeline 檢視者 | observabilitypipeline-viewer |
在根管理員叢集中查看 ObservabilityPipeline 自訂資源。 |
ClusterRole |
| Root Cortex Alertmanager 編輯者 | root-cortex-alertmanager-editor |
在根管理員叢集中編輯 Cortex Alertmanager 執行個體。 | Role |
| Root Cortex Alertmanager 檢視者 | root-cortex-alertmanager-viewer |
在根管理員叢集中存取 Cortex Alertmanager 執行個體。 | Role |
| 根 Cortex Prometheus 檢視器 | root-cortex-prometheus-viewer |
在根管理叢集中存取 Cortex Prometheus 執行個體。 | Role |
| ServiceLevelObjective 檢視者 | servicelevelobjective-viewer |
在根管理員叢集中,以視覺化方式呈現 ServiceLevelObjective 自訂資源。 |
ClusterRole |
記錄資源
下表詳細列出指派給記錄資源各預先定義角色的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| AuditLoggingTarget 建立者 | auditloggingtarget-creator |
在根管理員叢集中建立 AuditLoggingTarget 自訂資源。 |
ClusterRole |
| AuditLoggingTarget 編輯者 | auditloggingtarget-editor |
在根管理員叢集中編輯或修改 AuditLoggingTarget 自訂資源。 |
ClusterRole |
| AuditLoggingTarget 檢視者 | auditloggingtarget-viewer |
在根管理員叢集中查看 AuditLoggingTarget 自訂資源。 |
ClusterRole |
| 稽核記錄備份還原建立者 | audit-logs-backup-restore-creator |
建立備份轉移工作設定,並還原稽核記錄。 | Role |
| 稽核記錄備份還原編輯器 | audit-logs-backup-restore-editor |
編輯備份轉移工作設定,以及還原稽核記錄。 | Role |
| 稽核記錄基礎架構值區檢視者 | audit-logs-infra-bucket-viewer |
查看基礎架構稽核記錄的備份 bucket。 | Role |
| FluentBit Creator | fluentbit-creator |
在根管理員叢集中建立 FluentBit 自訂資源。 |
ClusterRole |
| FluentBit 編輯器 | fluentbit-editor |
在根管理員叢集中編輯或修改 FluentBit 自訂資源。 |
ClusterRole |
| FluentBit 檢視者 | fluentbit-viewer |
在根管理員叢集中查看 FluentBit 自訂資源。 |
ClusterRole |
| LogCollector Creator | logcollector-creator |
在根管理員叢集中建立 LogCollector 自訂資源。 |
ClusterRole |
| LogCollector 編輯器 | logcollector-editor |
在根管理員叢集中編輯或修改 LogCollector 自訂資源。 |
ClusterRole |
| LogCollector Viewer | logcollector-viewer |
在根管理員叢集中查看 LogCollector 自訂資源。 |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
在根管理員叢集中建立 LoggingRule 自訂資源。 |
ClusterRole |
| LoggingRule 編輯器 | loggingrule-editor |
在根管理員叢集中編輯或修改 LoggingRule 自訂資源。 |
ClusterRole |
| LoggingRule Viewer | loggingrule-viewer |
在根管理員叢集中查看 LoggingRule 自訂資源。 |
ClusterRole |
平台管理員 (PA) 和應用程式操作員的身分與存取權管理權限
視您需要的存取層級而定,GDC 氣隙裝置上的 IAM 提供下列兩種預先定義的 PA/AO 角色類型:
ClusterRole:在機構層級授予主體權限。機構層級角色可讓您在 Management API 伺服器的所有專案命名空間中部署自訂資源,並在整個機構的所有專案中啟用服務。Role:將角色傳播至 Kubernetes 命名空間,在專案層級授予主體權限。專案層級角色可讓您將自訂資源部署到 Management API 伺服器的專案命名空間,並僅在專案命名空間中啟用服務。
如果無法存取或使用監控或記錄服務,請與管理員聯絡,要求授予必要角色。向專案 IAM 管理員要求特定專案的適當權限。如需機構層級的權限,請洽詢機構 IAM 管理員。
本頁面說明使用監控和記錄服務的所有角色及其各自的權限。
專案層級的預先定義角色
向專案 IAM 管理員要求適當的權限,以便在專案中使用記錄和監控服務。所有角色都必須繫結至您使用服務的專案命名空間。
如要在專案層級授予資源權限或取得角色存取權,請參閱「授予專案資源存取權」。
監控資源
下表詳細列出各個預先定義角色在監控資源時的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| ConfigMap 建立者 | configmap-creator |
在專案命名空間中建立 ConfigMap 物件。 |
Role |
| 資訊主頁編輯器 | dashboard-editor |
編輯或修改專案命名空間中的Dashboard自訂資源。 |
Role |
| 資訊主頁檢視者 | dashboard-viewer |
查看專案命名空間中的Dashboard自訂資源。 |
Role |
| MonitoringRule 編輯者 | monitoringrule-editor |
編輯或修改專案命名空間中的MonitoringRule自訂資源。 |
Role |
| MonitoringRule 檢視者 | monitoringrule-viewer |
查看專案命名空間中的MonitoringRule自訂資源。 |
Role |
| MonitoringTarget 編輯者 | monitoringtarget-editor |
編輯或修改專案命名空間中的MonitoringTarget自訂資源。 |
Role |
| MonitoringTarget Viewer | monitoringtarget-viewer |
查看專案命名空間中的MonitoringTarget自訂資源。 |
Role |
| ObservabilityPipeline 編輯者 | observabilitypipeline-editor |
編輯或修改專案命名空間中的ObservabilityPipeline自訂資源。 |
Role |
| ObservabilityPipeline 檢視者 | observabilitypipeline-viewer |
查看專案命名空間中的ObservabilityPipeline自訂資源。 |
Role |
| Project Cortex Alertmanager 編輯者 | project-cortex-alertmanager-editor |
在專案命名空間中編輯 Cortex Alertmanager 執行個體。 | Role |
| Project Cortex Alertmanager 檢視者 | project-cortex-alertmanager-viewer |
存取專案命名空間中的 Cortex Alertmanager 執行個體。 | Role |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
存取專案命名空間中的 Cortex Prometheus 執行個體。 | Role |
| 專案 Grafana 檢視者 | project-grafana-viewer |
在 Grafana 監控執行個體的資訊主頁上,以視覺化方式呈現專案相關的可觀測性資料。 | Role |
記錄資源
下表詳細列出指派給記錄資源各預先定義角色的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| 稽核記錄平台還原值區建立者 | audit-logs-platform-restore-bucket-creator |
建立備份值區,還原平台稽核記錄。 | Role |
| 稽核記錄平台 Bucket 檢視者 | audit-logs-platform-bucket-viewer |
查看平台稽核記錄的備份儲存空間。 | Role |
| LoggingRule Creator | loggingrule-creator |
在專案命名空間中建立 LoggingRule 自訂資源。 |
Role |
| LoggingRule 編輯器 | loggingrule-editor |
編輯或修改專案命名空間中的LoggingRule自訂資源。 |
Role |
| LoggingRule Viewer | loggingrule-viewer |
查看專案命名空間中的LoggingRule自訂資源。 |
Role |
| LoggingTarget Creator | loggingtarget-creator |
在專案命名空間中建立 LoggingTarget 自訂資源。 |
Role |
| LoggingTarget 編輯器 | loggingtarget-editor |
編輯或修改專案命名空間中的LoggingTarget自訂資源。 |
Role |
| LoggingTarget 檢視器 | loggingtarget-viewer |
查看專案命名空間中的LoggingTarget自訂資源。 |
Role |