Google Distributed Cloud (GDC) air-gapped menawarkan Identity and Access Management (IAM) untuk akses terperinci ke resource Distributed Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM beroperasi berdasarkan prinsip keamanan hak istimewa terendah dan mengontrol siapa yang dapat mengakses resource tertentu menggunakan peran dan izin IAM.
Peran adalah kumpulan izin tertentu yang dipetakan ke tindakan tertentu pada resource dan ditetapkan ke subjek individual, seperti pengguna, grup pengguna, atau akun layanan. Oleh karena itu, Anda harus memiliki peran dan izin IAM yang tepat untuk menggunakan layanan pemantauan dan logging di Distributed Cloud.
IAM di Distributed Cloud menawarkan jenis peran bawaan yang dapat Anda peroleh di tingkat akses berikut:
- Server Management API: Beri subjek izin untuk mengelola resource kustom di tingkat project dalam namespace project server Management API tempat mereka ingin menggunakan layanan logging dan pemantauan.
- Cluster admin root: Memberikan izin kepada subjek untuk mengelola resource infrastruktur di cluster admin root.
Jika Anda tidak dapat mengakses atau menggunakan layanan pemantauan atau pencatatan log, hubungi administrator Anda untuk memberi Anda peran yang diperlukan. Minta izin yang sesuai dari Admin Keamanan Anda.
Halaman ini menjelaskan semua peran dan izin masing-masing untuk menggunakan layanan pemantauan dan logging.
Peran yang telah ditentukan sebelumnya di tingkat project
Minta izin yang sesuai dari Admin Keamanan Anda untuk menyiapkan logging dan pemantauan di namespace project server Management API tempat Anda ingin mengelola siklus proses layanan observabilitas.
Semua peran harus terikat ke namespace project server Management API tempat Anda menggunakan layanan. Untuk memberi anggota tim akses resource, tetapkan peran dengan membuat binding peran di server Management API menggunakan file kubeconfig-nya. Untuk memberikan izin atau menerima akses peran, lihat Memberikan dan mencabut akses.
Untuk mengetahui informasi selengkapnya, lihat Deskripsi peran standar.
Memantau resource
Tabel berikut memberikan detail tentang izin yang ditetapkan ke setiap peran yang telah ditetapkan untuk memantau resource:
| Nama peran | Nama resource Kubernetes | Deskripsi izin | Jenis |
|---|---|---|---|
| Pembuat ConfigMap | configmap-creator |
Buat objek ConfigMap di namespace project. |
Role |
| Dasbor IO Creator | dashboard-io-creator |
Buat resource kustom Dashboard di namespace project. |
ClusterRole |
| Dashboard IO Editor | dashboard-io-editor |
Mengedit atau mengubah Dashboard resource kustom di namespace project. |
ClusterRole |
| Dashboard IO Viewer | dashboard-io-viewer |
Lihat resource kustom Dashboard di namespace project. |
ClusterRole |
| Pembuat IO MonitoringRule | monitoringrule-io-creator |
Buat resource kustom MonitoringRule di namespace project. |
ClusterRole |
| MonitoringRule IO Editor | monitoringrule-io-editor |
Mengedit atau mengubah MonitoringRule resource kustom di namespace project. |
ClusterRole |
| MonitoringRule IO Viewer | monitoringrule-io-viewer |
Lihat resource kustom MonitoringRule di namespace project. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Buat resource kustom MonitoringTarget di namespace project. |
ClusterRole |
| MonitoringTarget IO Editor | monitoringtarget-io-editor |
Mengedit atau mengubah MonitoringTarget resource kustom di namespace project. |
ClusterRole |
| MonitoringTarget IO Viewer | monitoringtarget-io-viewer |
Lihat resource kustom MonitoringTarget di namespace project. |
ClusterRole |
| Pembuat IO ObservabilityPipeline | observabilitypipeline-io-creator |
Buat resource kustom ObservabilityPipeline di namespace project. |
ClusterRole |
| ObservabilityPipeline IO Editor | observabilitypipeline-io-editor |
Mengedit atau mengubah ObservabilityPipeline resource kustom di namespace project. |
ClusterRole |
| ObservabilityPipeline IO Viewer | observabilitypipeline-io-viewer |
Lihat resource kustom ObservabilityPipeline di namespace project. |
ClusterRole |
| Project Cortex Alertmanager Editor | project-cortex-alertmanager-editor |
Edit instance Cortex Alertmanager di namespace project. | Role |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
Akses instance Cortex Alertmanager di namespace project. | Role |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
Akses instance Cortex Prometheus di namespace project. | Role |
| Project Grafana Viewer | project-grafana-viewer |
Visualisasikan data keobservasian terkait project pada dasbor instance pemantauan Grafana. | Role |
| ServiceLevelObjective Viewer | servicelevelobjective-viewer |
Visualisasikan resource kustom ServiceLevelObjective di server Management API. |
ClusterRole |
Resource logging
Tabel berikut memberikan detail tentang izin yang ditetapkan ke setiap peran yang telah ditetapkan untuk resource logging:
| Nama peran | Nama resource Kubernetes | Deskripsi izin | Jenis |
|---|---|---|---|
| Pembuat IO AuditLoggingTarget | auditloggingtarget-io-creator |
Buat resource kustom AuditLoggingTarget di namespace project. |
ClusterRole |
| AuditLoggingTarget IO Editor | auditloggingtarget-io-editor |
Mengedit atau mengubah AuditLoggingTarget resource kustom di namespace project. |
ClusterRole |
| AuditLoggingTarget IO Viewer | auditloggingtarget-io-viewer |
Lihat resource kustom AuditLoggingTarget di namespace project. |
ClusterRole |
| Pembuat Pencadangan Pemulihan Log Audit | audit-logs-backup-restore-creator |
Buat konfigurasi tugas transfer cadangan dan pulihkan log audit. | Role |
| Editor Pencadangan Pemulihan Log Audit | audit-logs-backup-restore-editor |
Edit konfigurasi tugas transfer cadangan dan pulihkan log audit. | Role |
| Pelihat Bucket Infra Log Audit | audit-logs-infra-bucket-viewer |
Melihat bucket cadangan log audit infrastruktur. | Role |
| Pembuat IO FluentBit | fluentbit-io-creator |
Buat resource kustom FluentBit di namespace project. |
ClusterRole |
| FluentBit IO Editor | fluentbit-io-editor |
Mengedit atau mengubah FluentBit resource kustom di namespace project. |
ClusterRole |
| FluentBit IO Viewer | fluentbit-io-viewer |
Lihat resource kustom FluentBit di namespace project. |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
Buat resource kustom LogCollector di namespace project. |
ClusterRole |
| LogCollector IO Editor | logcollector-io-editor |
Mengedit atau mengubah LogCollector resource kustom di namespace project. |
ClusterRole |
| LogCollector IO Viewer | logcollector-io-viewer |
Lihat resource kustom LogCollector di namespace project. |
ClusterRole |
| Pembuat IO LoggingRule | loggingrule-io-creator |
Buat resource kustom LoggingRule di namespace project. |
ClusterRole |
| LoggingRule IO Editor | loggingrule-io-editor |
Mengedit atau mengubah LoggingRule resource kustom di namespace project. |
ClusterRole |
| LoggingRule IO Viewer | loggingrule-io-viewer |
Lihat resource kustom LoggingRule di namespace project. |
ClusterRole |
| Pembuat IO LoggingTarget | loggingtarget-io-creator |
Buat resource kustom LoggingTarget di namespace project. |
ClusterRole |
| LoggingTarget IO Editor | loggingtarget-io-editor |
Mengedit atau mengubah LoggingTarget resource kustom di namespace project. |
ClusterRole |
| LoggingTarget IO Viewer | loggingtarget-io-viewer |
Lihat resource kustom LoggingTarget di namespace project. |
ClusterRole |
| Pengirim Kueri Log API | log-query-api-querier |
Akses Log Query API untuk mengkueri log. | Role |
| Pembuat Infrastruktur Ekspor SIEM | siemexport-infra-creator |
Buat resource kustom SIEMInfraForwarder di namespace project. |
Role |
| SIEM Export Infra Editor | siemexport-infra-editor |
Mengedit atau mengubah SIEMInfraForwarder resource kustom di namespace project. |
Role |
| SIEM Export Infra Viewer | siemexport-infra-viewer |
Lihat resource kustom SIEMInfraForwarder di namespace project. |
Role |
Peran bawaan di cluster admin root
Minta izin yang sesuai dari Admin Keamanan Anda untuk menggunakan layanan logging dan pemantauan di cluster admin root.
Untuk memberikan akses resource kepada anggota tim, tetapkan peran dengan membuat binding peran di cluster admin root menggunakan file kubeconfig-nya. Untuk memberikan izin atau menerima akses peran, lihat Memberikan dan mencabut akses.
Untuk mengetahui informasi selengkapnya, lihat Deskripsi peran standar.
Memantau resource
Tabel berikut memberikan detail tentang izin yang ditetapkan ke setiap peran yang telah ditetapkan untuk memantau resource:
| Nama peran | Nama resource Kubernetes | Deskripsi izin | Jenis |
|---|---|---|---|
| Pembuat Dasbor | dashboard-creator |
Buat resource kustom Dashboard di cluster admin root. |
ClusterRole |
| Editor Dasbor | dashboard-editor |
Edit atau ubah resource kustom Dashboard di cluster admin root. |
ClusterRole |
| Pelihat Dasbor | dashboard-viewer |
Lihat resource kustom Dashboard di cluster admin root. |
ClusterRole |
| Penampil Grafana | grafana-viewer |
Visualisasikan data keobservasian di dasbor instance pemantauan Grafana di cluster admin root. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
Buat resource kustom MonitoringRule di cluster admin root. |
ClusterRole |
| MonitoringRule Editor | monitoringrule-editor |
Edit atau ubah resource kustom MonitoringRule di cluster admin root. |
ClusterRole |
| MonitoringRule Viewer | monitoringrule-viewer |
Lihat resource kustom MonitoringRule di cluster admin root. |
ClusterRole |
| Pembuat MonitoringTarget | monitoringtarget-creator |
Buat resource kustom MonitoringTarget di cluster admin root. |
ClusterRole |
| MonitoringTarget Editor | monitoringtarget-editor |
Edit atau ubah resource kustom MonitoringTarget di cluster admin root. |
ClusterRole |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Lihat resource kustom MonitoringTarget di cluster admin root. |
ClusterRole |
| ObservabilityPipeline Creator | observabilitypipeline-creator |
Buat resource kustom ObservabilityPipeline di cluster admin root. |
ClusterRole |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
Edit atau ubah resource kustom ObservabilityPipeline di cluster admin root. |
ClusterRole |
| ObservabilityPipeline Viewer | observabilitypipeline-viewer |
Lihat resource kustom ObservabilityPipeline di cluster admin root. |
ClusterRole |
| Root Cortex Alertmanager Editor | root-cortex-alertmanager-editor |
Edit instance Cortex Alertmanager di cluster admin root. | Role |
| Root Cortex Alertmanager Viewer | root-cortex-alertmanager-viewer |
Akses instance Cortex Alertmanager di cluster admin root. | Role |
| Penampil Prometheus Cortex Root | root-cortex-prometheus-viewer |
Akses instance Cortex Prometheus di cluster admin root. | Role |
| ServiceLevelObjective Viewer | servicelevelobjective-viewer |
Visualisasikan resource kustom ServiceLevelObjective di cluster admin root. |
ClusterRole |
Resource logging
Tabel berikut memberikan detail tentang izin yang ditetapkan ke setiap peran yang telah ditetapkan untuk resource logging:
| Nama peran | Nama resource Kubernetes | Deskripsi izin | Jenis |
|---|---|---|---|
| Pembuat AuditLoggingTarget | auditloggingtarget-creator |
Buat resource kustom AuditLoggingTarget di cluster admin root. |
ClusterRole |
| AuditLoggingTarget Editor | auditloggingtarget-editor |
Edit atau ubah resource kustom AuditLoggingTarget di cluster admin root. |
ClusterRole |
| AuditLoggingTarget Viewer | auditloggingtarget-viewer |
Lihat resource kustom AuditLoggingTarget di cluster admin root. |
ClusterRole |
| Pembuat Pencadangan Pemulihan Log Audit | audit-logs-backup-restore-creator |
Buat konfigurasi tugas transfer cadangan dan pulihkan log audit. | Role |
| Editor Pencadangan Pemulihan Log Audit | audit-logs-backup-restore-editor |
Edit konfigurasi tugas transfer cadangan dan pulihkan log audit. | Role |
| Pelihat Bucket Infra Log Audit | audit-logs-infra-bucket-viewer |
Melihat bucket cadangan log audit infrastruktur. | Role |
| FluentBit Creator | fluentbit-creator |
Buat resource kustom FluentBit di cluster admin root. |
ClusterRole |
| FluentBit Editor | fluentbit-editor |
Edit atau ubah resource kustom FluentBit di cluster admin root. |
ClusterRole |
| FluentBit Viewer | fluentbit-viewer |
Lihat resource kustom FluentBit di cluster admin root. |
ClusterRole |
| LogCollector Creator | logcollector-creator |
Buat resource kustom LogCollector di cluster admin root. |
ClusterRole |
| LogCollector Editor | logcollector-editor |
Edit atau ubah resource kustom LogCollector di cluster admin root. |
ClusterRole |
| LogCollector Viewer | logcollector-viewer |
Lihat resource kustom LogCollector di cluster admin root. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Buat resource kustom LoggingRule di cluster admin root. |
ClusterRole |
| LoggingRule Editor | loggingrule-editor |
Edit atau ubah resource kustom LoggingRule di cluster admin root. |
ClusterRole |
| LoggingRule Viewer | loggingrule-viewer |
Lihat resource kustom LoggingRule di cluster admin root. |
ClusterRole |
| Pembuat Infrastruktur Ekspor SIEM | siemexport-infra-creator |
Buat resource kustom SIEMInfraForwarder di cluster admin root. |
Role |
| SIEM Export Infra Editor | siemexport-infra-editor |
Edit atau ubah resource kustom SIEMInfraForwarder di cluster admin root. |
Role |
| SIEM Export Infra Viewer | siemexport-infra-viewer |
Lihat resource kustom SIEMInfraForwarder di cluster admin root. |
Role |