Google Distributed Cloud(GDC)エアギャップでは、特定の Distributed Cloud リソースに対するアクセス権を詳細に設定できる Identity and Access Management(IAM)が提供されており、他のリソースへの不要なアクセスを防ぐことができます。IAM は最小権限のセキュリティ原則に基づいて動作し、IAM ロールと権限を使用して、特定のリソースにアクセスできるユーザーを制御します。
ロールは、リソースに対する特定のアクションにマッピングされ、ユーザー、ユーザー グループ、サービス アカウントなどの個々のサブジェクトに割り当てられる特定の権限の集合です。したがって、Distributed Cloud でモニタリング サービスとロギング サービスを使用するには、適切な IAM ロールと権限が必要です。
Distributed Cloud の IAM には、次のアクセスレベルで取得できる事前定義ロールタイプが用意されています。
- Management API サーバー: ロギング サービスとモニタリング サービスを使用する Management API サーバーのプロジェクト Namespace で、カスタム リソースをプロジェクト レベルで管理する権限を持つサブジェクトを付与します。
- ルート管理者クラスタ: ルート管理者クラスタでインフラストラクチャ リソースを管理する権限を持つサブジェクトに権限を付与します。
モニタリング サービスまたはロギング サービスにアクセスできない場合や使用できない場合は、管理者にお問い合わせのうえ、必要なロールを付与してもらってください。セキュリティ管理者に適切な権限をリクエストします。
このページでは、モニタリング サービスとロギング サービスの使用に関するすべてのロールとそれぞれの権限について説明します。
プロジェクト レベルの事前定義ロール
オブザーバビリティ サービスのライフサイクルを管理する Management API サーバーのプロジェクト Namespace でロギングとモニタリングを設定するには、セキュリティ管理者から適切な権限をリクエストします。
すべてのロールは、サービスを使用している Management API サーバーのプロジェクト Namespace にバインドする必要があります。チームメンバーにリソース アクセス権を付与するには、kubeconfig ファイルを使用して Management API サーバーにロール バインディングを作成し、ロールを割り当てます。権限を付与する、またはロール アクセス権を取得するには、アクセス権の付与と取り消しをご覧ください。
詳細については、事前定義ロールの説明をご覧ください。
モニタリング リソース
次の表に、モニタリング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| ConfigMap 作成者 | configmap-creator |
プロジェクト Namespace に ConfigMap オブジェクトを作成します。 |
Role |
| Dashboard IO Creator | dashboard-io-creator |
プロジェクト Namespace に Dashboard カスタム リソースを作成します。 |
ClusterRole |
| Dashboard IO Editor | dashboard-io-editor |
プロジェクト Namespace の Dashboard カスタム リソースを編集または変更します。 |
ClusterRole |
| ダッシュボード IO 閲覧者 | dashboard-io-viewer |
プロジェクト Namespace の Dashboard カスタム リソースを表示します。 |
ClusterRole |
| MonitoringRule IO 作成者 | monitoringrule-io-creator |
プロジェクト Namespace に MonitoringRule カスタム リソースを作成します。 |
ClusterRole |
| MonitoringRule IO 編集者 | monitoringrule-io-editor |
プロジェクト Namespace の MonitoringRule カスタム リソースを編集または変更します。 |
ClusterRole |
| MonitoringRule IO 閲覧者 | monitoringrule-io-viewer |
プロジェクト Namespace の MonitoringRule カスタム リソースを表示します。 |
ClusterRole |
| MonitoringTarget IO 作成者 | monitoringtarget-io-creator |
プロジェクト Namespace に MonitoringTarget カスタム リソースを作成します。 |
ClusterRole |
| MonitoringTarget IO エディタ | monitoringtarget-io-editor |
プロジェクト Namespace の MonitoringTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| MonitoringTarget IO 閲覧者 | monitoringtarget-io-viewer |
プロジェクト Namespace の MonitoringTarget カスタム リソースを表示します。 |
ClusterRole |
| ObservabilityPipeline IO 作成者 | observabilitypipeline-io-creator |
プロジェクト Namespace に ObservabilityPipeline カスタム リソースを作成します。 |
ClusterRole |
| ObservabilityPipeline IO 編集者 | observabilitypipeline-io-editor |
プロジェクト Namespace の ObservabilityPipeline カスタム リソースを編集または変更します。 |
ClusterRole |
| ObservabilityPipeline IO 閲覧者 | observabilitypipeline-io-viewer |
プロジェクト Namespace の ObservabilityPipeline カスタム リソースを表示します。 |
ClusterRole |
| Project Cortex Alertmanager 編集者 | project-cortex-alertmanager-editor |
プロジェクトの Namespace で Cortex Alertmanager インスタンスを編集します。 | Role |
| Project Cortex Alertmanager 閲覧者 | project-cortex-alertmanager-viewer |
プロジェクト Namespace の Cortex Alertmanager インスタンスにアクセスします。 | Role |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
プロジェクト Namespace の Cortex Prometheus インスタンスにアクセスします。 | Role |
| プロジェクト Grafana 閲覧者 | project-grafana-viewer |
Grafana モニタリング インスタンスのダッシュボードで、プロジェクト関連のオブザーバビリティ データを可視化します。 | Role |
| ServiceLevelObjective 閲覧者 | servicelevelobjective-viewer |
Management API サーバーで ServiceLevelObjective カスタム リソースを可視化します。 |
ClusterRole |
ロギング リソース
次の表に、ロギング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
プロジェクト Namespace に AuditLoggingTarget カスタム リソースを作成します。 |
ClusterRole |
| AuditLoggingTarget IO 編集者 | auditloggingtarget-io-editor |
プロジェクト Namespace の AuditLoggingTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| AuditLoggingTarget IO 閲覧者 | auditloggingtarget-io-viewer |
プロジェクト Namespace の AuditLoggingTarget カスタム リソースを表示します。 |
ClusterRole |
| 監査ログ バックアップ復元作成者 | audit-logs-backup-restore-creator |
バックアップ転送ジョブ構成を作成し、監査ログを復元します。 | Role |
| 監査ログ バックアップ復元エディタ | audit-logs-backup-restore-editor |
バックアップ転送ジョブの構成を編集し、監査ログを復元します。 | Role |
| 監査ログ インフラストラクチャ バケット閲覧者 | audit-logs-infra-bucket-viewer |
インフラストラクチャ監査ログのバックアップ バケットを表示します。 | Role |
| FluentBit IO Creator | fluentbit-io-creator |
プロジェクト Namespace に FluentBit カスタム リソースを作成します。 |
ClusterRole |
| FluentBit IO エディタ | fluentbit-io-editor |
プロジェクト Namespace の FluentBit カスタム リソースを編集または変更します。 |
ClusterRole |
| FluentBit IO 閲覧者 | fluentbit-io-viewer |
プロジェクト Namespace の FluentBit カスタム リソースを表示します。 |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
プロジェクト Namespace に LogCollector カスタム リソースを作成します。 |
ClusterRole |
| LogCollector IO エディタ | logcollector-io-editor |
プロジェクト Namespace の LogCollector カスタム リソースを編集または変更します。 |
ClusterRole |
| LogCollector IO Viewer | logcollector-io-viewer |
プロジェクト Namespace の LogCollector カスタム リソースを表示します。 |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
プロジェクト Namespace に LoggingRule カスタム リソースを作成します。 |
ClusterRole |
| LoggingRule IO エディタ | loggingrule-io-editor |
プロジェクト Namespace の LoggingRule カスタム リソースを編集または変更します。 |
ClusterRole |
| LoggingRule IO 閲覧者 | loggingrule-io-viewer |
プロジェクト Namespace の LoggingRule カスタム リソースを表示します。 |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
プロジェクト Namespace に LoggingTarget カスタム リソースを作成します。 |
ClusterRole |
| LoggingTarget IO エディタ | loggingtarget-io-editor |
プロジェクト Namespace の LoggingTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| LoggingTarget IO ビューア | loggingtarget-io-viewer |
プロジェクト Namespace の LoggingTarget カスタム リソースを表示します。 |
ClusterRole |
| ログクエリ API クエリ | log-query-api-querier |
Log Query API にアクセスしてログをクエリします。 | Role |
| SIEM エクスポート インフラストラクチャ作成者 | siemexport-infra-creator |
プロジェクト Namespace に SIEMInfraForwarder カスタム リソースを作成します。 |
Role |
| SIEM エクスポート インフラストラクチャ編集者 | siemexport-infra-editor |
プロジェクト Namespace の SIEMInfraForwarder カスタム リソースを編集または変更します。 |
Role |
| SIEM エクスポート インフラストラクチャ閲覧者 | siemexport-infra-viewer |
プロジェクト Namespace の SIEMInfraForwarder カスタム リソースを表示します。 |
Role |
ルート管理クラスタの事前定義ロール
ルート管理クラスタでロギング サービスとモニタリング サービスを使用するには、セキュリティ管理者に適切な権限をリクエストします。
チームメンバーにリソース アクセス権を付与するには、kubeconfig ファイルを使用して、ルート管理クラスタにロール バインディングを作成してロールを割り当てます。権限を付与する、またはロールのアクセス権を取得するには、アクセス権の付与と取り消しをご覧ください。
詳細については、事前定義ロールの説明をご覧ください。
モニタリング リソース
次の表に、モニタリング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| ダッシュボード作成者 | dashboard-creator |
ルート管理クラスタに Dashboard カスタム リソースを作成します。 |
ClusterRole |
| ダッシュボード エディタ | dashboard-editor |
ルート管理クラスタで Dashboard カスタム リソースを編集または変更します。 |
ClusterRole |
| ダッシュボード閲覧者 | dashboard-viewer |
ルート管理クラスタで Dashboard カスタム リソースを表示します。 |
ClusterRole |
| Grafana 閲覧者 | grafana-viewer |
ルート管理クラスタの Grafana モニタリング インスタンスのダッシュボードでオブザーバビリティ データを可視化します。 | ClusterRole |
| MonitoringRule 作成者 | monitoringrule-creator |
ルート管理クラスタに MonitoringRule カスタム リソースを作成します。 |
ClusterRole |
| MonitoringRule エディタ | monitoringrule-editor |
ルート管理クラスタで MonitoringRule カスタム リソースを編集または変更します。 |
ClusterRole |
| MonitoringRule 閲覧者 | monitoringrule-viewer |
ルート管理クラスタで MonitoringRule カスタム リソースを表示します。 |
ClusterRole |
| MonitoringTarget 作成者 | monitoringtarget-creator |
ルート管理クラスタに MonitoringTarget カスタム リソースを作成します。 |
ClusterRole |
| MonitoringTarget 編集者 | monitoringtarget-editor |
ルート管理クラスタで MonitoringTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| MonitoringTarget 閲覧者 | monitoringtarget-viewer |
ルート管理クラスタで MonitoringTarget カスタム リソースを表示します。 |
ClusterRole |
| ObservabilityPipeline 作成者 | observabilitypipeline-creator |
ルート管理クラスタに ObservabilityPipeline カスタム リソースを作成します。 |
ClusterRole |
| ObservabilityPipeline 編集者 | observabilitypipeline-editor |
ルート管理クラスタで ObservabilityPipeline カスタム リソースを編集または変更します。 |
ClusterRole |
| ObservabilityPipeline 閲覧者 | observabilitypipeline-viewer |
ルート管理クラスタで ObservabilityPipeline カスタム リソースを表示します。 |
ClusterRole |
| ルート Cortex Alertmanager 編集者 | root-cortex-alertmanager-editor |
ルート管理クラスタで Cortex Alertmanager インスタンスを編集します。 | Role |
| Root Cortex Alertmanager 閲覧者 | root-cortex-alertmanager-viewer |
ルート管理クラスタの Cortex Alertmanager インスタンスにアクセスします。 | Role |
| Root Cortex Prometheus Viewer | root-cortex-prometheus-viewer |
ルート管理クラスタで Cortex Prometheus インスタンスにアクセスします。 | Role |
| ServiceLevelObjective 閲覧者 | servicelevelobjective-viewer |
ルート管理クラスタで ServiceLevelObjective カスタム リソースを可視化します。 |
ClusterRole |
ロギング リソース
次の表に、ロギング リソースの各事前定義ロールに割り当てられている権限の詳細を示します。
| ロール名 | Kubernetes リソース名 | 権限の説明 | タイプ |
|---|---|---|---|
| AuditLoggingTarget 作成者 | auditloggingtarget-creator |
ルート管理クラスタに AuditLoggingTarget カスタム リソースを作成します。 |
ClusterRole |
| AuditLoggingTarget 編集者 | auditloggingtarget-editor |
ルート管理クラスタで AuditLoggingTarget カスタム リソースを編集または変更します。 |
ClusterRole |
| AuditLoggingTarget 閲覧者 | auditloggingtarget-viewer |
ルート管理クラスタで AuditLoggingTarget カスタム リソースを表示します。 |
ClusterRole |
| 監査ログ バックアップ復元作成者 | audit-logs-backup-restore-creator |
バックアップ転送ジョブ構成を作成し、監査ログを復元します。 | Role |
| 監査ログ バックアップ復元エディタ | audit-logs-backup-restore-editor |
バックアップ転送ジョブの構成を編集し、監査ログを復元します。 | Role |
| 監査ログ インフラストラクチャ バケット閲覧者 | audit-logs-infra-bucket-viewer |
インフラストラクチャ監査ログのバックアップ バケットを表示します。 | Role |
| FluentBit Creator | fluentbit-creator |
ルート管理クラスタに FluentBit カスタム リソースを作成します。 |
ClusterRole |
| FluentBit エディタ | fluentbit-editor |
ルート管理クラスタで FluentBit カスタム リソースを編集または変更します。 |
ClusterRole |
| FluentBit 閲覧者 | fluentbit-viewer |
ルート管理クラスタで FluentBit カスタム リソースを表示します。 |
ClusterRole |
| LogCollector 作成者 | logcollector-creator |
ルート管理クラスタに LogCollector カスタム リソースを作成します。 |
ClusterRole |
| LogCollector エディタ | logcollector-editor |
ルート管理クラスタで LogCollector カスタム リソースを編集または変更します。 |
ClusterRole |
| LogCollector Viewer | logcollector-viewer |
ルート管理クラスタで LogCollector カスタム リソースを表示します。 |
ClusterRole |
| LoggingRule 作成者 | loggingrule-creator |
ルート管理クラスタに LoggingRule カスタム リソースを作成します。 |
ClusterRole |
| LoggingRule エディタ | loggingrule-editor |
ルート管理クラスタで LoggingRule カスタム リソースを編集または変更します。 |
ClusterRole |
| LoggingRule 閲覧者 | loggingrule-viewer |
ルート管理クラスタで LoggingRule カスタム リソースを表示します。 |
ClusterRole |
| SIEM エクスポート インフラストラクチャ作成者 | siemexport-infra-creator |
ルート管理クラスタに SIEMInfraForwarder カスタム リソースを作成します。 |
Role |
| SIEM エクスポート インフラストラクチャ編集者 | siemexport-infra-editor |
ルート管理クラスタで SIEMInfraForwarder カスタム リソースを編集または変更します。 |
Role |
| SIEM エクスポート インフラストラクチャ閲覧者 | siemexport-infra-viewer |
ルート管理クラスタで SIEMInfraForwarder カスタム リソースを表示します。 |
Role |