Google Distributed Cloud (GDC) air-gapped propose Identity and Access Management (IAM) pour un accès précis à des ressources Distributed Cloud spécifiques et empêche tout accès indésirable à d'autres ressources. IAM fonctionne selon le principe de sécurité du moindre privilège et contrôle qui peut accéder à des ressources données à l'aide de rôles et d'autorisations IAM.
Un rôle est un ensemble d'autorisations spécifiques mappées à certaines actions sur les ressources et attribuées à des sujets individuels, tels que des utilisateurs, des groupes d'utilisateurs ou des comptes de service. Par conséquent, vous devez disposer des rôles et autorisations IAM appropriés pour utiliser les services de surveillance et de journalisation sur Distributed Cloud.
IAM sur Distributed Cloud propose des types de rôles prédéfinis que vous pouvez obtenir aux niveaux d'accès suivants :
- Serveur de l'API Management : accordez à un sujet les autorisations nécessaires pour gérer les ressources personnalisées au niveau du projet dans l'espace de noms du projet du serveur de l'API Management où il souhaite utiliser les services de journalisation et de surveillance.
- Cluster d'administrateur racine : accordez à un sujet les autorisations nécessaires pour gérer les ressources d'infrastructure dans le cluster d'administrateur racine.
Si vous ne parvenez pas à accéder à un service de surveillance ou de journalisation, ou à l'utiliser, contactez votre administrateur pour qu'il vous attribue les rôles nécessaires. Demandez les autorisations appropriées à votre administrateur de sécurité.
Cette page décrit tous les rôles et leurs autorisations respectives pour l'utilisation des services de surveillance et de journalisation.
Rôles prédéfinis au niveau du projet
Demandez les autorisations appropriées à votre Administrateur de sécurité pour configurer la journalisation et la surveillance dans l'espace de noms du projet du serveur de l'API Management où vous souhaitez gérer le cycle de vie des services d'observabilité.
Tous les rôles doivent être associés à l'espace de noms du projet du serveur de l'API Management où vous utilisez le service. Pour accorder aux membres de l'équipe l'accès aux ressources, attribuez des rôles en créant des liaisons de rôle sur le serveur de l'API Management à l'aide de son fichier kubeconfig. Pour accorder des autorisations ou recevoir un accès à un rôle, consultez Accorder et révoquer l'accès.
Pour en savoir plus, consultez Descriptions des rôles prédéfinis.
Ressources de surveillance
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de surveillance :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur de ConfigMap | configmap-creator |
Créez des objets ConfigMap dans l'espace de noms du projet. |
Role |
| Créateur de tableaux de bord IO | dashboard-io-creator |
Créez des ressources personnalisées Dashboard dans l'espace de noms du projet. |
ClusterRole |
| Éditeur Dashboard IO | dashboard-io-editor |
Modifiez les ressources personnalisées Dashboard dans l'espace de noms du projet. |
ClusterRole |
| Lecteur Dashboard IO | dashboard-io-viewer |
Affichez les ressources personnalisées Dashboard dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'IO MonitoringRule | monitoringrule-io-creator |
Créez des ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
ClusterRole |
| Éditeur MonitoringRule IO | monitoringrule-io-editor |
Modifiez les ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
ClusterRole |
| Lecteur IO MonitoringRule | monitoringrule-io-viewer |
Affichez les ressources personnalisées MonitoringRule dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'IO MonitoringTarget | monitoringtarget-io-creator |
Créez des ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
ClusterRole |
| Éditeur IO MonitoringTarget | monitoringtarget-io-editor |
Modifiez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
ClusterRole |
| Lecteur MonitoringTarget IO | monitoringtarget-io-viewer |
Affichez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'E/S ObservabilityPipeline | observabilitypipeline-io-creator |
Créez des ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
ClusterRole |
| Éditeur ObservabilityPipeline IO | observabilitypipeline-io-editor |
Modifiez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
ClusterRole |
| Lecteur ObservabilityPipeline IO | observabilitypipeline-io-viewer |
Affichez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet. |
ClusterRole |
| Éditeur Alertmanager de Project Cortex | project-cortex-alertmanager-editor |
Modifiez l'instance Cortex Alertmanager dans l'espace de noms du projet. | Role |
| Lecteur Alertmanager Project Cortex | project-cortex-alertmanager-viewer |
Accédez à l'instance Cortex Alertmanager dans l'espace de noms du projet. | Role |
| Lecteur Prometheus Project Cortex | project-cortex-prometheus-viewer |
Accédez à l'instance Prometheus de Cortex dans l'espace de noms du projet. | Role |
| Lecteur Grafana de projet | project-grafana-viewer |
Visualisez les données d'observabilité liées au projet dans les tableaux de bord de l'instance de surveillance Grafana. | Role |
| Lecteur ServiceLevelObjective | servicelevelobjective-viewer |
Visualisez les ressources personnalisées ServiceLevelObjective dans le serveur de l'API Management. |
ClusterRole |
Ressources de journalisation
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de journalisation :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur d'E/S AuditLoggingTarget | auditloggingtarget-io-creator |
Créez des ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Éditeur d'E/S AuditLoggingTarget | auditloggingtarget-io-editor |
Modifiez les ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Lecteur AuditLoggingTarget IO | auditloggingtarget-io-viewer |
Affichez les ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Créateur de sauvegarde et de restauration des journaux d'audit | audit-logs-backup-restore-creator |
Créez une configuration de job de transfert de sauvegarde et restaurez les journaux d'audit. | Role |
| Éditeur de sauvegarde et de restauration des journaux d'audit | audit-logs-backup-restore-editor |
Modifiez la configuration du job de transfert de sauvegarde et restaurez les journaux d'audit. | Role |
| Lecteur de buckets d'infrastructure des journaux d'audit | audit-logs-infra-bucket-viewer |
Affichez les buckets de sauvegarde des journaux d'audit de l'infrastructure. | Role |
| FluentBit IO Creator | fluentbit-io-creator |
Créez des ressources personnalisées FluentBit dans l'espace de noms du projet. |
ClusterRole |
| Éditeur FluentBit IO | fluentbit-io-editor |
Modifiez les ressources personnalisées FluentBit dans l'espace de noms du projet. |
ClusterRole |
| Lecteur FluentBit IO | fluentbit-io-viewer |
Affichez les ressources personnalisées FluentBit dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'E/S LogCollector | logcollector-io-creator |
Créez des ressources personnalisées LogCollector dans l'espace de noms du projet. |
ClusterRole |
| Éditeur LogCollector IO | logcollector-io-editor |
Modifiez les ressources personnalisées LogCollector dans l'espace de noms du projet. |
ClusterRole |
| Visionneuse LogCollector IO | logcollector-io-viewer |
Affichez les ressources personnalisées LogCollector dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'IO LoggingRule | loggingrule-io-creator |
Créez des ressources personnalisées LoggingRule dans l'espace de noms du projet. |
ClusterRole |
| Éditeur d'IO LoggingRule | loggingrule-io-editor |
Modifiez les ressources personnalisées LoggingRule dans l'espace de noms du projet. |
ClusterRole |
| Lecteur d'IO LoggingRule | loggingrule-io-viewer |
Affichez les ressources personnalisées LoggingRule dans l'espace de noms du projet. |
ClusterRole |
| Créateur d'E/S LoggingTarget | loggingtarget-io-creator |
Créez des ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Éditeur d'E/S LoggingTarget | loggingtarget-io-editor |
Modifiez les ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Visionneuse E/S LoggingTarget | loggingtarget-io-viewer |
Affichez les ressources personnalisées LoggingTarget dans l'espace de noms du projet. |
ClusterRole |
| Interrogateur de l'API Log Query | log-query-api-querier |
Accédez à l'API Log Query pour interroger les journaux. | Role |
| Créateur d'infrastructure d'exportation SIEM | siemexport-infra-creator |
Créez des ressources personnalisées SIEMInfraForwarder dans l'espace de noms du projet. |
Role |
| Éditeur d'infrastructure d'exportation SIEM | siemexport-infra-editor |
Modifiez les ressources personnalisées SIEMInfraForwarder dans l'espace de noms du projet. |
Role |
| Lecteur d'infrastructure d'exportation SIEM | siemexport-infra-viewer |
Affichez les ressources personnalisées SIEMInfraForwarder dans l'espace de noms du projet. |
Role |
Rôles prédéfinis dans le cluster d'administrateur racine
Demandez les autorisations appropriées à votre Administrateur de sécurité pour utiliser les services de journalisation et de surveillance dans le cluster d'administrateur racine.
Pour accorder aux membres de l'équipe l'accès aux ressources, attribuez des rôles en créant des liaisons de rôle sur le cluster d'administrateur racine à l'aide de son fichier kubeconfig. Pour accorder des autorisations ou recevoir un accès à un rôle, consultez Accorder et révoquer l'accès.
Pour en savoir plus, consultez Descriptions des rôles prédéfinis.
Ressources de surveillance
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de surveillance :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur de tableaux de bord | dashboard-creator |
Créez des ressources personnalisées Dashboard dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur de tableaux de bord | dashboard-editor |
Modifiez les ressources personnalisées Dashboard dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur de tableaux de bord | dashboard-viewer |
Affichez les ressources personnalisées Dashboard dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur Grafana | grafana-viewer |
Visualisez les données d'observabilité dans les tableaux de bord de l'instance de surveillance Grafana du cluster d'administrateur racine. | ClusterRole |
| Créateur de règles de surveillance | monitoringrule-creator |
Créez des ressources personnalisées MonitoringRule dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur MonitoringRule | monitoringrule-editor |
Modifiez les ressources personnalisées MonitoringRule dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur MonitoringRule | monitoringrule-viewer |
Affichez les ressources personnalisées MonitoringRule dans le cluster d'administrateur racine. |
ClusterRole |
| Créateur de MonitoringTarget | monitoringtarget-creator |
Créez des ressources personnalisées MonitoringTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur MonitoringTarget | monitoringtarget-editor |
Modifiez les ressources personnalisées MonitoringTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur MonitoringTarget | monitoringtarget-viewer |
Affichez les ressources personnalisées MonitoringTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Créateur ObservabilityPipeline | observabilitypipeline-creator |
Créez des ressources personnalisées ObservabilityPipeline dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur ObservabilityPipeline | observabilitypipeline-editor |
Modifiez les ressources personnalisées ObservabilityPipeline dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur ObservabilityPipeline | observabilitypipeline-viewer |
Affichez les ressources personnalisées ObservabilityPipeline dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur Alertmanager du cortex racine | root-cortex-alertmanager-editor |
Modifiez l'instance Cortex Alertmanager dans le cluster d'administrateur racine. | Role |
| Lecteur Root Cortex Alertmanager | root-cortex-alertmanager-viewer |
Accédez à l'instance Cortex Alertmanager dans le cluster d'administrateur racine. | Role |
| Visionneuse Prometheus Root Cortex | root-cortex-prometheus-viewer |
Accédez à l'instance Cortex Prometheus dans le cluster d'administrateur racine. | Role |
| Lecteur ServiceLevelObjective | servicelevelobjective-viewer |
Visualisez les ressources personnalisées ServiceLevelObjective dans le cluster d'administrateur racine. |
ClusterRole |
Ressources de journalisation
Le tableau suivant fournit des informations sur les autorisations attribuées à chaque rôle prédéfini pour les ressources de journalisation :
| Nom du rôle | Nom de la ressource Kubernetes | Description de l'autorisation | Type |
|---|---|---|---|
| Créateur de AuditLoggingTarget | auditloggingtarget-creator |
Créez des ressources personnalisées AuditLoggingTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur AuditLoggingTarget | auditloggingtarget-editor |
Modifiez les ressources personnalisées AuditLoggingTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur AuditLoggingTarget | auditloggingtarget-viewer |
Affichez les ressources personnalisées AuditLoggingTarget dans le cluster d'administrateur racine. |
ClusterRole |
| Créateur de sauvegarde et de restauration des journaux d'audit | audit-logs-backup-restore-creator |
Créez une configuration de job de transfert de sauvegarde et restaurez les journaux d'audit. | Role |
| Éditeur de sauvegarde et de restauration des journaux d'audit | audit-logs-backup-restore-editor |
Modifiez la configuration du job de transfert de sauvegarde et restaurez les journaux d'audit. | Role |
| Lecteur de buckets d'infrastructure des journaux d'audit | audit-logs-infra-bucket-viewer |
Affichez les buckets de sauvegarde des journaux d'audit de l'infrastructure. | Role |
| Créateur Fluent Bit | fluentbit-creator |
Créez des ressources personnalisées FluentBit dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur FluentBit | fluentbit-editor |
Modifiez les ressources personnalisées FluentBit dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur Fluent Bit | fluentbit-viewer |
Affichez les ressources personnalisées FluentBit dans le cluster d'administrateur racine. |
ClusterRole |
| Créateur LogCollector | logcollector-creator |
Créez des ressources personnalisées LogCollector dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur LogCollector | logcollector-editor |
Modifiez les ressources personnalisées LogCollector dans le cluster d'administrateur racine. |
ClusterRole |
| Visionneuse LogCollector | logcollector-viewer |
Affichez les ressources personnalisées LogCollector dans le cluster d'administrateur racine. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Créez des ressources personnalisées LoggingRule dans le cluster d'administrateur racine. |
ClusterRole |
| Éditeur LoggingRule | loggingrule-editor |
Modifiez les ressources personnalisées LoggingRule dans le cluster d'administrateur racine. |
ClusterRole |
| Lecteur de règles de journalisation | loggingrule-viewer |
Affichez les ressources personnalisées LoggingRule dans le cluster d'administrateur racine. |
ClusterRole |
| Créateur d'infrastructure d'exportation SIEM | siemexport-infra-creator |
Créez des ressources personnalisées SIEMInfraForwarder dans le cluster d'administrateur racine. |
Role |
| Éditeur d'infrastructure d'exportation SIEM | siemexport-infra-editor |
Modifiez les ressources personnalisées SIEMInfraForwarder dans le cluster d'administrateur racine. |
Role |
| Lecteur d'infrastructure d'exportation SIEM | siemexport-infra-viewer |
Affichez les ressources personnalisées SIEMInfraForwarder dans le cluster d'administrateur racine. |
Role |