Google Distributed Cloud (GDC) air-gapped ofrece gestión de identidades y accesos (IAM) para un acceso granular a recursos específicos de Distributed Cloud e impide el acceso no deseado a otros recursos. IAM se basa en el principio de seguridad del privilegio mínimo y controla quién puede acceder a determinados recursos mediante roles y permisos de IAM.
Un rol es un conjunto de permisos específicos asignados a determinadas acciones en recursos y asignados a sujetos concretos, como usuarios, grupos de usuarios o cuentas de servicio. Por lo tanto, debes tener los roles y permisos de IAM adecuados para usar los servicios de monitorización y registro en Distributed Cloud.
IAM en Distributed Cloud ofrece tipos de roles predefinidos que puedes obtener en los siguientes niveles de acceso:
- Servidor de la API Management: concede a un sujeto permisos para gestionar recursos personalizados a nivel de proyecto en el espacio de nombres del proyecto del servidor de la API Management en el que quiera usar los servicios de registro y monitorización.
- Clúster de administrador raíz: concede a un sujeto permisos para gestionar recursos de infraestructura en el clúster de administrador raíz.
Si no puedes acceder a un servicio de monitorización o registro, o usarlo, ponte en contacto con tu administrador para que te conceda los roles necesarios. Solicita los permisos adecuados a tu administrador de seguridad.
En esta página se describen todos los roles y sus respectivos permisos para usar los servicios de monitorización y registro.
Roles predefinidos a nivel de proyecto
Solicita los permisos adecuados a tu administrador de seguridad para configurar el registro y la monitorización en el espacio de nombres del proyecto del servidor de la API Management donde quieras gestionar el ciclo de vida de los servicios de observabilidad.
Todos los roles deben enlazarse al espacio de nombres del proyecto del servidor de la API Management en el que estés usando el servicio. Para conceder acceso a los recursos a los miembros del equipo, asigna roles creando enlaces de roles en el servidor de la API Management con su archivo kubeconfig. Para conceder permisos o recibir acceso a un rol, consulta Conceder y revocar acceso.
Para obtener más información, consulta las descripciones de los roles predefinidos.
Recursos de Monitoring
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para monitorizar recursos:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de ConfigMap | configmap-creator |
Crea objetos ConfigMap en el espacio de nombres del proyecto. |
Role |
| Creador de IO de panel de control | dashboard-io-creator |
Crea recursos personalizados Dashboard en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de IO de panel de control | dashboard-io-editor |
Editar o modificar recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de IO de panel de control | dashboard-io-viewer |
Ver los recursos personalizados de Dashboard en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de MonitoringRule IO | monitoringrule-io-creator |
Crea recursos personalizados MonitoringRule en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de MonitoringRule IO | monitoringrule-io-editor |
Editar o modificar recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de MonitoringRule IO | monitoringrule-io-viewer |
Ver los recursos personalizados de MonitoringRule en el espacio de nombres del proyecto. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Crea recursos personalizados MonitoringTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de MonitoringTarget IO | monitoringtarget-io-editor |
Editar o modificar recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de MonitoringTarget IO | monitoringtarget-io-viewer |
Ver los recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto. |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
Crea recursos personalizados ObservabilityPipeline en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de ObservabilityPipeline IO | observabilitypipeline-io-editor |
Editar o modificar recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de ObservabilityPipeline IO | observabilitypipeline-io-viewer |
Ver los recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Lector de Alertmanager de Project Cortex | project-cortex-alertmanager-viewer |
Accede a la instancia de Cortex Alertmanager en el espacio de nombres del proyecto. | Role |
| Visor de Prometheus de Project Cortex | project-cortex-prometheus-viewer |
Accede a la instancia de Cortex Prometheus en el espacio de nombres del proyecto. | Role |
| Lector de Grafana de proyectos | project-grafana-viewer |
Visualiza los datos de observabilidad relacionados con el proyecto en los paneles de control de la instancia de monitorización de Grafana. | Role |
| Lector de ServiceLevelObjective | servicelevelobjective-viewer |
Visualiza los recursos personalizados de ServiceLevelObjective en el servidor de la API Management. |
ClusterRole |
Recursos de registro
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
Crea recursos personalizados AuditLoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de IO de AuditLoggingTarget | auditloggingtarget-io-editor |
Editar o modificar recursos personalizados de AuditLoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Lector de IO de AuditLoggingTarget | auditloggingtarget-io-viewer |
Ver los recursos personalizados de AuditLoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-creator |
Crea una configuración de tarea de transferencia de copia de seguridad y restaura los registros de auditoría. | Role |
| Editor de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-editor |
Editar la configuración de la tarea de transferencia de copias de seguridad y restaurar los registros de auditoría. | Role |
| Lector de segmentos de Infra de registros de auditoría | audit-logs-infra-bucket-viewer |
Ver los segmentos de copia de seguridad de los registros de auditoría de la infraestructura. | Role |
| Creador de FluentBit IO | fluentbit-io-creator |
Crea recursos personalizados FluentBit en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de E/S de FluentBit | fluentbit-io-editor |
Editar o modificar recursos personalizados de FluentBit en el espacio de nombres del proyecto. |
ClusterRole |
| Visor de E/S de FluentBit | fluentbit-io-viewer |
Ver los recursos personalizados de FluentBit en el espacio de nombres del proyecto. |
ClusterRole |
| Creador de LogCollector IO | logcollector-io-creator |
Crea recursos personalizados LogCollector en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de LogCollector IO | logcollector-io-editor |
Editar o modificar recursos personalizados de LogCollector en el espacio de nombres del proyecto. |
ClusterRole |
| Visualizador de pedidos de inserción de LogCollector | logcollector-io-viewer |
Ver los recursos personalizados de LogCollector en el espacio de nombres del proyecto. |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
Crea recursos personalizados LoggingRule en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de LoggingRule IO | loggingrule-io-editor |
Editar o modificar recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
ClusterRole |
| LoggingRule IO Viewer | loggingrule-io-viewer |
Ver los recursos personalizados de LoggingRule en el espacio de nombres del proyecto. |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
Crea recursos personalizados LoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Editor de LoggingTarget IO | loggingtarget-io-editor |
Editar o modificar recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Visualizador de LoggingTarget IO | loggingtarget-io-viewer |
Ver los recursos personalizados de LoggingTarget en el espacio de nombres del proyecto. |
ClusterRole |
| Consultador de la API Log Query | log-query-api-querier |
Accede a la API Log Query para consultar registros. | Role |
| SIEM Export Infra Creator | siemexport-infra-creator |
Crea recursos personalizados SIEMInfraForwarder en el espacio de nombres del proyecto. |
Role |
| Editor de infraestructura de exportación de SIEM | siemexport-infra-editor |
Editar o modificar recursos personalizados de SIEMInfraForwarder en el espacio de nombres del proyecto. |
Role |
| SIEM Export Infra Viewer | siemexport-infra-viewer |
Ver los recursos personalizados de SIEMInfraForwarder en el espacio de nombres del proyecto. |
Role |
Roles predefinidos en el clúster de administrador raíz
Solicita los permisos adecuados a tu administrador de seguridad para usar los servicios de registro y monitorización en el clúster de administrador raíz.
Para conceder acceso a los recursos a los miembros del equipo, asigna roles creando enlaces de rol en el clúster de administrador raíz mediante su archivo kubeconfig. Para conceder permisos u obtener acceso a un rol, consulta Conceder y revocar acceso.
Para obtener más información, consulta las descripciones de los roles predefinidos.
Recursos de Monitoring
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para monitorizar recursos:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| Creador de paneles | dashboard-creator |
Crea Dashboard recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de paneles de control | dashboard-editor |
Edita o modifica Dashboard recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Lector del panel de control | dashboard-viewer |
Ver los Dashboard recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Visor de Grafana | grafana-viewer |
Visualiza los datos de observabilidad en los paneles de control de la instancia de monitorización de Grafana en el clúster de administrador raíz. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
Crea MonitoringRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de MonitoringRule | monitoringrule-editor |
Edita o modifica MonitoringRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| MonitoringRule Viewer | monitoringrule-viewer |
Ver los MonitoringRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
Crea MonitoringTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de MonitoringTarget | monitoringtarget-editor |
Edita o modifica MonitoringTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Lector de MonitoringTarget | monitoringtarget-viewer |
Ver los MonitoringTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Creador de ObservabilityPipeline | observabilitypipeline-creator |
Crea ObservabilityPipeline recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de ObservabilityPipeline | observabilitypipeline-editor |
Edita o modifica ObservabilityPipeline recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Lector de ObservabilityPipeline | observabilitypipeline-viewer |
Ver los ObservabilityPipeline recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de Root Cortex Alertmanager | root-cortex-alertmanager-editor |
Edita la instancia de Cortex Alertmanager en el clúster de administrador raíz. | Role |
| Lector de alertas de Root Cortex | root-cortex-alertmanager-viewer |
Accede a la instancia de Alertmanager de Cortex en el clúster de administrador raíz. | Role |
| Visor de Prometheus de Cortex raíz | root-cortex-prometheus-viewer |
Accede a la instancia de Cortex Prometheus en el clúster de administración raíz. | Role |
| Lector de ServiceLevelObjective | servicelevelobjective-viewer |
Visualiza los ServiceLevelObjective recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
Recursos de registro
En la siguiente tabla se detallan los permisos asignados a cada rol predefinido para los recursos de registro:
| Nombre de rol | Nombre del recurso de Kubernetes | Descripción del permiso | Tipo |
|---|---|---|---|
| AuditLoggingTarget Creator | auditloggingtarget-creator |
Crea AuditLoggingTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de AuditLoggingTarget | auditloggingtarget-editor |
Edita o modifica AuditLoggingTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Lector de AuditLoggingTarget | auditloggingtarget-viewer |
Ver los AuditLoggingTarget recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Creador de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-creator |
Crea una configuración de tarea de transferencia de copia de seguridad y restaura los registros de auditoría. | Role |
| Editor de copias de seguridad y restauración de registros de auditoría | audit-logs-backup-restore-editor |
Editar la configuración de la tarea de transferencia de copias de seguridad y restaurar los registros de auditoría. | Role |
| Lector de segmentos de Infra de registros de auditoría | audit-logs-infra-bucket-viewer |
Ver los segmentos de copia de seguridad de los registros de auditoría de la infraestructura. | Role |
| Creador de FluentBit | fluentbit-creator |
Crea FluentBit recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de FluentBit | fluentbit-editor |
Edita o modifica FluentBit recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Visor de FluentBit | fluentbit-viewer |
Ver los FluentBit recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Creador de LogCollector | logcollector-creator |
Crea LogCollector recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de LogCollector | logcollector-editor |
Edita o modifica LogCollector recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Visualizador de LogCollector | logcollector-viewer |
Ver los LogCollector recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Crea LoggingRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Editor de LoggingRule | loggingrule-editor |
Edita o modifica LoggingRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| Visualizador de LoggingRule | loggingrule-viewer |
Ver los LoggingRule recursos personalizados en el clúster de administrador raíz. |
ClusterRole |
| SIEM Export Infra Creator | siemexport-infra-creator |
Crea SIEMInfraForwarder recursos personalizados en el clúster de administrador raíz. |
Role |
| Editor de infraestructura de exportación de SIEM | siemexport-infra-editor |
Edita o modifica SIEMInfraForwarder recursos personalizados en el clúster de administrador raíz. |
Role |
| SIEM Export Infra Viewer | siemexport-infra-viewer |
Ver los SIEMInfraForwarder recursos personalizados en el clúster de administrador raíz. |
Role |