O Google Distributed Cloud (GDC) air-gapped oferece gestão de identidade e de acesso (IAM) para acesso detalhado a recursos específicos do Distributed Cloud e impede o acesso indesejado a outros recursos. A IAM opera com base no princípio de segurança do menor privilégio e controla quem pode aceder a determinados recursos através das funções e autorizações da IAM.
Uma função é um conjunto de autorizações específicas mapeadas para determinadas ações em recursos e atribuídas a indivíduos, como utilizadores, grupos de utilizadores ou contas de serviço. Por conseguinte, tem de ter as funções e as autorizações da IAM adequadas para usar os serviços de monitorização e registo no Distributed Cloud.
O IAM na Distributed Cloud oferece tipos de funções predefinidos que pode obter nos seguintes níveis de acesso:
- Servidor da API Management: conceda a um assunto autorizações para gerir recursos personalizados ao nível do projeto no espaço de nomes do projeto do servidor da API Management onde quer usar os serviços de registo e monitorização.
- Cluster de administrador raiz: conceda a um assunto autorizações para gerir recursos de infraestrutura no cluster de administrador raiz.
Se não conseguir aceder ou usar um serviço de monitorização ou registo, contacte o seu administrador para que lhe conceda as funções necessárias. Peça as autorizações adequadas ao seu administrador de segurança.
Esta página descreve todas as funções e as respetivas autorizações para usar os serviços de monitorização e registo.
Funções predefinidas ao nível do projeto
Peça as autorizações adequadas ao administrador de segurança para configurar o registo e a monitorização no espaço de nomes do projeto do servidor da API Management onde quer gerir o ciclo de vida dos serviços de observabilidade.
Todas as funções têm de estar associadas ao espaço de nomes do projeto do servidor da API Management onde está a usar o serviço. Para conceder aos membros da equipa acesso aos recursos, atribua funções criando associações de funções no servidor da API Management através do respetivo ficheiro kubeconfig. Para conceder autorizações ou receber acesso a funções, consulte o artigo Conceda e revogue o acesso.
Para mais informações, consulte o artigo Descrições de funções predefinidas.
Monitorizar recursos
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para recursos de monitorização:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| ConfigMap Creator | configmap-creator |
Crie objetos ConfigMap no espaço de nomes do projeto. |
Role |
| Dashboard IO Creator | dashboard-io-creator |
Crie recursos personalizados Dashboard no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO do painel de controlo | dashboard-io-editor |
Editar ou modificar recursos personalizados Dashboard no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO do painel de controlo | dashboard-io-viewer |
Veja Dashboard recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| MonitoringRule IO Creator | monitoringrule-io-creator |
Crie recursos personalizados MonitoringRule no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO de MonitoringRule | monitoringrule-io-editor |
Editar ou modificar recursos personalizados MonitoringRule no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO de MonitoringRule | monitoringrule-io-viewer |
Veja MonitoringRule recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Crie recursos personalizados MonitoringTarget no espaço de nomes do projeto. |
ClusterRole |
| Editor de IOs MonitoringTarget | monitoringtarget-io-editor |
Editar ou modificar recursos personalizados MonitoringTarget no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO de MonitoringTarget | monitoringtarget-io-viewer |
Veja MonitoringTarget recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
Crie recursos personalizados ObservabilityPipeline no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO da ObservabilityPipeline | observabilitypipeline-io-editor |
Editar ou modificar recursos personalizados ObservabilityPipeline no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO da ObservabilityPipeline | observabilitypipeline-io-viewer |
Veja ObservabilityPipeline recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| Editor do Alertmanager do Project Cortex | project-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no espaço de nomes do projeto. | Role |
| Visualizador do Alertmanager do Project Cortex | project-cortex-alertmanager-viewer |
Aceda à instância do Cortex Alertmanager no espaço de nomes do projeto. | Role |
| Visualizador do Prometheus do Project Cortex | project-cortex-prometheus-viewer |
Aceda à instância do Cortex Prometheus no espaço de nomes do projeto. | Role |
| Visualizador do Grafana do projeto | project-grafana-viewer |
Visualize dados de observabilidade relacionados com o projeto em painéis de controlo da instância de monitorização do Grafana. | Role |
| Visualizador de ServiceLevelObjective | servicelevelobjective-viewer |
Visualize recursos personalizados ServiceLevelObjective no servidor da API de gestão. |
ClusterRole |
Recursos de registo
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para registar recursos:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
Crie recursos personalizados AuditLoggingTarget no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO AuditLoggingTarget | auditloggingtarget-io-editor |
Editar ou modificar recursos personalizados AuditLoggingTarget no espaço de nomes do projeto. |
ClusterRole |
| Leitor de IO AuditLoggingTarget | auditloggingtarget-io-viewer |
Veja AuditLoggingTarget recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| Criador de restauro de cópias de segurança de registos de auditoria | audit-logs-backup-restore-creator |
Crie uma configuração de tarefa de transferência de cópia de segurança e restaure os registos de auditoria. | Role |
| Editor de restauro de cópias de segurança dos registos de auditoria | audit-logs-backup-restore-editor |
Edite a configuração da tarefa de transferência de cópia de segurança e restaure os registos de auditoria. | Role |
| Visualizador do contentor de infraestrutura dos registos de auditoria | audit-logs-infra-bucket-viewer |
Veja contentores de cópias de segurança de registos de auditoria da infraestrutura. | Role |
| FluentBit IO Creator | fluentbit-io-creator |
Crie recursos personalizados FluentBit no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO do FluentBit | fluentbit-io-editor |
Editar ou modificar recursos personalizados FluentBit no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO do FluentBit | fluentbit-io-viewer |
Veja FluentBit recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
Crie recursos personalizados LogCollector no espaço de nomes do projeto. |
ClusterRole |
| LogCollector IO Editor | logcollector-io-editor |
Editar ou modificar recursos personalizados LogCollector no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO do LogCollector | logcollector-io-viewer |
Veja LogCollector recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
Crie recursos personalizados LoggingRule no espaço de nomes do projeto. |
ClusterRole |
| LoggingRule IO Editor | loggingrule-io-editor |
Editar ou modificar recursos personalizados LoggingRule no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO de LoggingRule | loggingrule-io-viewer |
Veja LoggingRule recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
Crie recursos personalizados LoggingTarget no espaço de nomes do projeto. |
ClusterRole |
| LoggingTarget IO Editor | loggingtarget-io-editor |
Editar ou modificar recursos personalizados LoggingTarget no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO LoggingTarget | loggingtarget-io-viewer |
Veja LoggingTarget recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| Log Query API Querier | log-query-api-querier |
Aceda à API Log Query para consultar registos. | Role |
| SIEM Export Infra Creator | siemexport-infra-creator |
Crie recursos personalizados SIEMInfraForwarder no espaço de nomes do projeto. |
Role |
| SIEM Export Infra Editor | siemexport-infra-editor |
Editar ou modificar recursos personalizados SIEMInfraForwarder no espaço de nomes do projeto. |
Role |
| SIEM Export Infra Viewer | siemexport-infra-viewer |
Veja SIEMInfraForwarder recursos personalizados no espaço de nomes do projeto. |
Role |
Funções predefinidas no cluster de administrador raiz
Peça as autorizações adequadas ao administrador de segurança para usar os serviços de registo e monitorização no cluster de administrador raiz.
Para conceder aos membros da equipa acesso aos recursos, atribua funções criando associações de funções no cluster de administrador raiz através do respetivo ficheiro kubeconfig. Para conceder autorizações ou receber acesso a funções, consulte o artigo Conceda e revogue o acesso.
Para mais informações, consulte o artigo Descrições de funções predefinidas.
Monitorizar recursos
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para recursos de monitorização:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| Criador de painéis de controlo | dashboard-creator |
Crie Dashboard recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor de painéis de controlo | dashboard-editor |
Edite ou modifique recursos personalizados Dashboard no cluster de administrador raiz. |
ClusterRole |
| Visualizador do painel de controlo | dashboard-viewer |
Ver Dashboardrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Visualizador do Grafana | grafana-viewer |
Visualize dados de observabilidade em painéis de controlo da instância de monitorização do Grafana no cluster de administrador raiz. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
Crie MonitoringRule recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor de regras de monitorização | monitoringrule-editor |
Edite ou modifique recursos personalizados MonitoringRule no cluster de administrador raiz. |
ClusterRole |
| MonitoringRule Viewer | monitoringrule-viewer |
Ver MonitoringRulerecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
Crie MonitoringTarget recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| MonitoringTarget Editor | monitoringtarget-editor |
Edite ou modifique recursos personalizados MonitoringTarget no cluster de administrador raiz. |
ClusterRole |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Ver MonitoringTargetrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| ObservabilityPipeline Creator | observabilitypipeline-creator |
Crie ObservabilityPipeline recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor ObservabilityPipeline | observabilitypipeline-editor |
Edite ou modifique recursos personalizados ObservabilityPipeline no cluster de administrador raiz. |
ClusterRole |
| Visualizador da ObservabilityPipeline | observabilitypipeline-viewer |
Ver ObservabilityPipelinerecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor do Alertmanager do Cortex raiz | root-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no cluster de administração raiz. | Role |
| Visualizador do Alertmanager do Cortex raiz | root-cortex-alertmanager-viewer |
Aceda à instância do Cortex Alertmanager no cluster de administrador raiz. | Role |
| Root Cortex Prometheus Viewer | root-cortex-prometheus-viewer |
Aceda à instância do Cortex Prometheus no cluster de administrador raiz. | Role |
| Visualizador de ServiceLevelObjective | servicelevelobjective-viewer |
Visualize ServiceLevelObjective recursos personalizados no cluster de administrador raiz. |
ClusterRole |
Recursos de registo
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para registar recursos:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| AuditLoggingTarget Creator | auditloggingtarget-creator |
Crie AuditLoggingTarget recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor AuditLoggingTarget | auditloggingtarget-editor |
Edite ou modifique recursos personalizados AuditLoggingTarget no cluster de administrador raiz. |
ClusterRole |
| Visualizador de AuditLoggingTarget | auditloggingtarget-viewer |
Ver AuditLoggingTargetrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Criador de restauro de cópias de segurança de registos de auditoria | audit-logs-backup-restore-creator |
Crie uma configuração de tarefa de transferência de cópia de segurança e restaure os registos de auditoria. | Role |
| Editor de restauro de cópias de segurança dos registos de auditoria | audit-logs-backup-restore-editor |
Edite a configuração da tarefa de transferência de cópia de segurança e restaure os registos de auditoria. | Role |
| Visualizador do contentor de infraestrutura dos registos de auditoria | audit-logs-infra-bucket-viewer |
Veja contentores de cópias de segurança de registos de auditoria da infraestrutura. | Role |
| FluentBit Creator | fluentbit-creator |
Crie FluentBit recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor do FluentBit | fluentbit-editor |
Edite ou modifique recursos personalizados FluentBit no cluster de administrador raiz. |
ClusterRole |
| Visualizador do FluentBit | fluentbit-viewer |
Ver FluentBitrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Criador do LogCollector | logcollector-creator |
Crie LogCollector recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor do LogCollector | logcollector-editor |
Edite ou modifique recursos personalizados LogCollector no cluster de administrador raiz. |
ClusterRole |
| Visualizador LogCollector | logcollector-viewer |
Ver LogCollectorrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Crie LoggingRule recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| LoggingRule Editor | loggingrule-editor |
Edite ou modifique recursos personalizados LoggingRule no cluster de administrador raiz. |
ClusterRole |
| LoggingRule Viewer | loggingrule-viewer |
Ver LoggingRulerecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| SIEM Export Infra Creator | siemexport-infra-creator |
Crie SIEMInfraForwarder recursos personalizados no cluster de administrador raiz. |
Role |
| SIEM Export Infra Editor | siemexport-infra-editor |
Edite ou modifique recursos personalizados SIEMInfraForwarder no cluster de administrador raiz. |
Role |
| SIEM Export Infra Viewer | siemexport-infra-viewer |
Ver SIEMInfraForwarderrecursos personalizados no cluster de administrador raiz. |
Role |