Google Distributed Cloud (GDC) air-gapped offre Identity and Access Management (IAM) per l'accesso granulare a risorse Distributed Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM opera in base al principio di sicurezza del privilegio minimo e controlla chi può accedere a determinate risorse utilizzando ruoli e autorizzazioni IAM.
Un ruolo è un insieme di autorizzazioni specifiche mappate a determinate azioni sulle risorse e assegnate a singoli soggetti, come utenti, gruppi di utenti o service account. Pertanto, devi disporre dei ruoli e delle autorizzazioni IAM appropriati per utilizzare i servizi di monitoraggio e logging su Distributed Cloud.
IAM su Distributed Cloud offre tipi di ruoli predefiniti che puoi ottenere nei seguenti livelli di accesso:
- Server API Management: concedi a un soggetto le autorizzazioni per gestire le risorse personalizzate a livello di progetto nello spazio dei nomi del progetto del server API Management in cui vuole utilizzare i servizi di logging e monitoraggio.
- Cluster amministratore principale: concedi a un soggetto le autorizzazioni per gestire le risorse dell'infrastruttura nel cluster amministratore principale.
Se non riesci ad accedere o a utilizzare un servizio di monitoraggio o logging, contatta l'amministratore per ottenere i ruoli necessari. Richiedi le autorizzazioni appropriate all'Amministratore sicurezzaa.
Questa pagina descrive tutti i ruoli e le rispettive autorizzazioni per l'utilizzo dei servizi di monitoraggio e logging.
Ruoli predefiniti a livello di progetto
Richiedi le autorizzazioni appropriate all'Amministratore sicurezza per configurare la registrazione e il monitoraggio nello spazio dei nomi del progetto del server API Management in cui vuoi gestire il ciclo di vita dei servizi di osservabilità.
Tutti i ruoli devono essere associati allo spazio dei nomi del progetto del server dell'API Management in cui utilizzi il servizio. Per concedere ai membri del team l'accesso alle risorse, assegna i ruoli creando associazioni di ruoli sul server API Management utilizzando il file kubeconfig. Per concedere autorizzazioni o ricevere l'accesso al ruolo, vedi Concedere e revocare l'accesso.
Per ulteriori informazioni, consulta Descrizioni dei ruoli predefiniti.
Monitoraggio delle risorse
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per il monitoraggio delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| Creatore di ConfigMap | configmap-creator |
Crea oggetti ConfigMap nello spazio dei nomi del progetto. |
Role |
| Dashboard IO Creator | dashboard-io-creator |
Crea risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
ClusterRole |
| Dashboard IO Editor | dashboard-io-editor |
Modifica le risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
ClusterRole |
| Dashboard IO Viewer | dashboard-io-viewer |
Visualizza le risorse personalizzate Dashboard nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringRule IO Creator | monitoringrule-io-creator |
Crea risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
ClusterRole |
| Editor IO MonitoringRule | monitoringrule-io-editor |
Modifica le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringRule IO Viewer | monitoringrule-io-viewer |
Visualizza le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Crea risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringTarget IO Editor | monitoringtarget-io-editor |
Modifica le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
ClusterRole |
| MonitoringTarget IO Viewer | monitoringtarget-io-viewer |
Visualizza le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto. |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
Crea risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
ClusterRole |
| ObservabilityPipeline IO Editor | observabilitypipeline-io-editor |
Modifica le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
ClusterRole |
| ObservabilityPipeline IO Viewer | observabilitypipeline-io-viewer |
Visualizza le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto. |
ClusterRole |
| Editor di Project Cortex Alertmanager | project-cortex-alertmanager-editor |
Modifica l'istanza di Cortex Alertmanager nello spazio dei nomi del progetto. | Role |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
Accedi all'istanza di Cortex Alertmanager nello spazio dei nomi del progetto. | Role |
| Visualizzatore Prometheus di Project Cortex | project-cortex-prometheus-viewer |
Accedi all'istanza di Cortex Prometheus nello spazio dei nomi del progetto. | Role |
| Project Grafana Viewer | project-grafana-viewer |
Visualizza i dati di osservabilità correlati al progetto nelle dashboard dell'istanza di monitoraggio Grafana. | Role |
| Visualizzatore ServiceLevelObjective | servicelevelobjective-viewer |
Visualizza le risorse personalizzate ServiceLevelObjective nel server API Management. |
ClusterRole |
Risorse di logging
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per la registrazione delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
Crea risorse personalizzate AuditLoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| AuditLoggingTarget IO Editor | auditloggingtarget-io-editor |
Modifica le risorse personalizzate AuditLoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| AuditLoggingTarget IO Viewer | auditloggingtarget-io-viewer |
Visualizza le risorse personalizzate AuditLoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| Audit Logs Backup Restore Creator | audit-logs-backup-restore-creator |
Crea una configurazione del job di trasferimento del backup e ripristina i log di controllo. | Role |
| Editor di backup e ripristino degli audit log | audit-logs-backup-restore-editor |
Modifica la configurazione del job di trasferimento del backup e ripristina i log di controllo. | Role |
| Audit Logs Infra Bucket Viewer | audit-logs-infra-bucket-viewer |
Visualizza i bucket di backup dei log di controllo dell'infrastruttura. | Role |
| FluentBit IO Creator | fluentbit-io-creator |
Crea risorse personalizzate FluentBit nello spazio dei nomi del progetto. |
ClusterRole |
| FluentBit IO Editor | fluentbit-io-editor |
Modifica le risorse personalizzate FluentBit nello spazio dei nomi del progetto. |
ClusterRole |
| FluentBit IO Viewer | fluentbit-io-viewer |
Visualizza le risorse personalizzate FluentBit nello spazio dei nomi del progetto. |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
Crea risorse personalizzate LogCollector nello spazio dei nomi del progetto. |
ClusterRole |
| LogCollector IO Editor | logcollector-io-editor |
Modifica le risorse personalizzate LogCollector nello spazio dei nomi del progetto. |
ClusterRole |
| Visualizzatore IO LogCollector | logcollector-io-viewer |
Visualizza le risorse personalizzate LogCollector nello spazio dei nomi del progetto. |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
Crea risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
ClusterRole |
| LoggingRule IO Editor | loggingrule-io-editor |
Modifica le risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
ClusterRole |
| Visualizzatore IO LoggingRule | loggingrule-io-viewer |
Visualizza le risorse personalizzate LoggingRule nello spazio dei nomi del progetto. |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
Crea risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| LoggingTarget IO Editor | loggingtarget-io-editor |
Modifica le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| Visualizzatore IO LoggingTarget | loggingtarget-io-viewer |
Visualizza le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto. |
ClusterRole |
| Log Query API Querier | log-query-api-querier |
Accedi all'API Log Query per eseguire query sui log. | Role |
| SIEM Export Infra Creator | siemexport-infra-creator |
Crea risorse personalizzate SIEMInfraForwarder nello spazio dei nomi del progetto. |
Role |
| SIEM Export Infra Editor | siemexport-infra-editor |
Modifica le risorse personalizzate SIEMInfraForwarder nello spazio dei nomi del progetto. |
Role |
| SIEM Export Infra Viewer | siemexport-infra-viewer |
Visualizza le risorse personalizzate SIEMInfraForwarder nello spazio dei nomi del progetto. |
Role |
Ruoli predefiniti nel cluster amministrativo principale
Richiedi le autorizzazioni appropriate all'Amministratore sicurezza per utilizzare i servizi di logging e monitoraggio nel cluster di amministrazione principale.
Per concedere ai membri del team l'accesso alle risorse, assegna i ruoli creando associazioni di ruoli nel cluster di amministrazione principale utilizzando il relativo file kubeconfig. Per concedere autorizzazioni o ricevere l'accesso al ruolo, vedi Concedere e revocare l'accesso.
Per ulteriori informazioni, consulta Descrizioni dei ruoli predefiniti.
Monitoraggio delle risorse
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per il monitoraggio delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| Creatore di dashboard | dashboard-creator |
Crea risorse personalizzate Dashboard nel cluster di amministrazione principale. |
ClusterRole |
| Editor dashboard | dashboard-editor |
Modifica le risorse personalizzate Dashboard nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore dashboard | dashboard-viewer |
Visualizza le risorse personalizzate Dashboard nel cluster di amministrazione principale. |
ClusterRole |
| Visualizzatore Grafana | grafana-viewer |
Visualizza i dati di osservabilità nelle dashboard dell'istanza di monitoraggio Grafana nel cluster di amministrazione principale. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
Crea risorse personalizzate MonitoringRule nel cluster di amministrazione principale. |
ClusterRole |
| MonitoringRule Editor | monitoringrule-editor |
Modifica le risorse personalizzate MonitoringRule nell'amministratore cluster radice. |
ClusterRole |
| MonitoringRule Viewer | monitoringrule-viewer |
Visualizza le risorse personalizzate MonitoringRule nel cluster di amministrazione principale. |
ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
Crea risorse personalizzate MonitoringTarget nel cluster di amministrazione principale. |
ClusterRole |
| MonitoringTarget Editor | monitoringtarget-editor |
Modifica le risorse personalizzate MonitoringTarget nell'amministratore cluster radice. |
ClusterRole |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Visualizza le risorse personalizzate MonitoringTarget nel cluster di amministrazione principale. |
ClusterRole |
| Creatore ObservabilityPipeline | observabilitypipeline-creator |
Crea risorse personalizzate ObservabilityPipeline nel cluster di amministrazione principale. |
ClusterRole |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
Modifica le risorse personalizzate ObservabilityPipeline nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore ObservabilityPipeline | observabilitypipeline-viewer |
Visualizza le risorse personalizzate ObservabilityPipeline nel cluster di amministrazione principale. |
ClusterRole |
| Editor di Root Cortex Alertmanager | root-cortex-alertmanager-editor |
Modifica l'istanza di Cortex Alertmanager nel cluster di amministrazione principale. | Role |
| Root Cortex Alertmanager Viewer | root-cortex-alertmanager-viewer |
Accedi all'istanza di Cortex Alertmanager nel cluster di amministrazione principale. | Role |
| Visualizzatore Prometheus Cortex principale | root-cortex-prometheus-viewer |
Accedi all'istanza Cortex Prometheus nel cluster di amministrazione principale. | Role |
| Visualizzatore ServiceLevelObjective | servicelevelobjective-viewer |
Visualizza le risorse personalizzate ServiceLevelObjective nel cluster di amministrazione principale. |
ClusterRole |
Risorse di logging
La tabella seguente fornisce dettagli sulle autorizzazioni assegnate a ciascun ruolo predefinito per la registrazione delle risorse:
| Nome ruolo | Nome risorsa Kubernetes | Descrizione dell'autorizzazione | Tipo |
|---|---|---|---|
| AuditLoggingTarget Creator | auditloggingtarget-creator |
Crea risorse personalizzate AuditLoggingTarget nel cluster di amministrazione principale. |
ClusterRole |
| AuditLoggingTarget Editor | auditloggingtarget-editor |
Modifica le risorse personalizzate AuditLoggingTarget nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore AuditLoggingTarget | auditloggingtarget-viewer |
Visualizza le risorse personalizzate AuditLoggingTarget nel cluster di amministrazione principale. |
ClusterRole |
| Audit Logs Backup Restore Creator | audit-logs-backup-restore-creator |
Crea una configurazione del job di trasferimento del backup e ripristina i log di controllo. | Role |
| Editor di backup e ripristino degli audit log | audit-logs-backup-restore-editor |
Modifica la configurazione del job di trasferimento del backup e ripristina i log di controllo. | Role |
| Audit Logs Infra Bucket Viewer | audit-logs-infra-bucket-viewer |
Visualizza i bucket di backup dei log di controllo dell'infrastruttura. | Role |
| FluentBit Creator | fluentbit-creator |
Crea risorse personalizzate FluentBit nel cluster di amministrazione principale. |
ClusterRole |
| FluentBit Editor | fluentbit-editor |
Modifica le risorse personalizzate FluentBit nell'amministratore cluster radice. |
ClusterRole |
| FluentBit Viewer | fluentbit-viewer |
Visualizza le risorse personalizzate FluentBit nel cluster di amministrazione principale. |
ClusterRole |
| Creatore di LogCollector | logcollector-creator |
Crea risorse personalizzate LogCollector nel cluster di amministrazione principale. |
ClusterRole |
| Editor LogCollector | logcollector-editor |
Modifica le risorse personalizzate LogCollector nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore LogCollector | logcollector-viewer |
Visualizza le risorse personalizzate LogCollector nel cluster di amministrazione principale. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Crea risorse personalizzate LoggingRule nel cluster di amministrazione principale. |
ClusterRole |
| LoggingRule Editor | loggingrule-editor |
Modifica le risorse personalizzate LoggingRule nell'amministratore cluster radice. |
ClusterRole |
| Visualizzatore LoggingRule | loggingrule-viewer |
Visualizza le risorse personalizzate LoggingRule nel cluster di amministrazione principale. |
ClusterRole |
| SIEM Export Infra Creator | siemexport-infra-creator |
Crea risorse personalizzate SIEMInfraForwarder nel cluster di amministrazione principale. |
Role |
| SIEM Export Infra Editor | siemexport-infra-editor |
Modifica le risorse personalizzate SIEMInfraForwarder nell'amministratore cluster radice. |
Role |
| SIEM Export Infra Viewer | siemexport-infra-viewer |
Visualizza le risorse personalizzate SIEMInfraForwarder nel cluster di amministrazione principale. |
Role |