O Google Distributed Cloud (GDC) air-gapped oferece o Identity and Access Management (IAM) para acesso granular a recursos específicos do Distributed Cloud e impede o acesso indesejado a outros recursos. O IAM opera com o princípio de segurança de privilégio mínimo e controla quem pode acessar determinados recursos usando papéis e permissões do IAM.
Um papel é um conjunto de permissões específicas mapeadas para determinadas ações em recursos e atribuídas a assuntos individuais, como usuários, grupos de usuários ou contas de serviço. Portanto, é preciso ter as funções e permissões adequadas do IAM para usar os serviços de monitoramento e geração de registros no Distributed Cloud.
O IAM no Distributed Cloud oferece tipos de papéis predefinidos que podem ser obtidos nos seguintes níveis de acesso:
- Servidor da API Management: conceda a um assunto permissões para gerenciar recursos personalizados no nível do projeto no namespace do projeto do servidor da API Management em que ele quer usar serviços de geração de registros e monitoramento.
- Cluster de administrador raiz: conceda a um assunto permissões para gerenciar recursos de infraestrutura no cluster de administrador raiz.
Se você não conseguir acessar ou usar um serviço de monitoramento ou geração de registros, entre em contato com seu administrador para receber as funções necessárias. Solicite as permissões adequadas ao administrador de segurança.
Nesta página, descrevemos todos os papéis e as respectivas permissões para usar os serviços de monitoramento e geração de registros.
Papéis predefinidos no nível do projeto
Peça ao administrador de segurança as permissões adequadas para configurar o registro em log e o monitoramento no namespace do projeto do servidor da API Management em que você quer gerenciar o ciclo de vida dos serviços de observabilidade.
Todos os papéis precisam ser vinculados ao namespace do projeto do servidor da API Management em que você está usando o serviço. Para conceder acesso aos recursos aos membros da equipe, atribua papéis criando vinculações de papéis no servidor da API Management usando o arquivo kubeconfig. Para conceder permissões ou receber acesso a papéis, consulte Conceder e revogar acesso.
Para mais informações, consulte Descrições de papéis predefinidos.
Recursos de monitoramento
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de monitoramento:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de ConfigMap | configmap-creator |
Crie objetos ConfigMap no namespace do projeto. |
Role |
| Criador de E/S de painel | dashboard-io-creator |
Crie recursos personalizados Dashboard no namespace do projeto. |
ClusterRole |
| Editor de E/S do painel | dashboard-io-editor |
Edite ou modifique recursos personalizados Dashboard no namespace do projeto. |
ClusterRole |
| Leitor de E/S do painel | dashboard-io-viewer |
Veja os recursos personalizados Dashboard no namespace do projeto. |
ClusterRole |
| Criador de IO MonitoringRule | monitoringrule-io-creator |
Crie recursos personalizados MonitoringRule no namespace do projeto. |
ClusterRole |
| Editor de E/S do MonitoringRule | monitoringrule-io-editor |
Edite ou modifique recursos personalizados MonitoringRule no namespace do projeto. |
ClusterRole |
| Visualizador de E/S do MonitoringRule | monitoringrule-io-viewer |
Veja os recursos personalizados MonitoringRule no namespace do projeto. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Crie recursos personalizados MonitoringTarget no namespace do projeto. |
ClusterRole |
| Editor de E/S do MonitoringTarget | monitoringtarget-io-editor |
Edite ou modifique recursos personalizados MonitoringTarget no namespace do projeto. |
ClusterRole |
| Leitor de IO MonitoringTarget | monitoringtarget-io-viewer |
Veja os recursos personalizados MonitoringTarget no namespace do projeto. |
ClusterRole |
| Criador de E/S do ObservabilityPipeline | observabilitypipeline-io-creator |
Crie recursos personalizados ObservabilityPipeline no namespace do projeto. |
ClusterRole |
| Editor de E/S do ObservabilityPipeline | observabilitypipeline-io-editor |
Edite ou modifique recursos personalizados ObservabilityPipeline no namespace do projeto. |
ClusterRole |
| Leitor de E/S do ObservabilityPipeline | observabilitypipeline-io-viewer |
Veja os recursos personalizados ObservabilityPipeline no namespace do projeto. |
ClusterRole |
| Editor do Alertmanager do Project Cortex | project-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no namespace do projeto. | Role |
| Leitor do Alertmanager do Project Cortex | project-cortex-alertmanager-viewer |
Acesse a instância do Cortex Alertmanager no namespace do projeto. | Role |
| Leitor do Prometheus do Project Cortex | project-cortex-prometheus-viewer |
Acesse a instância do Cortex Prometheus no namespace do projeto. | Role |
| Leitor do Grafana do projeto | project-grafana-viewer |
Visualize dados de observabilidade relacionados ao projeto nos painéis da instância de monitoramento do Grafana. | Role |
| Leitor de ServiceLevelObjective | servicelevelobjective-viewer |
Visualize recursos personalizados ServiceLevelObjective no servidor da API Management. |
ClusterRole |
Recursos do Logging
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de geração de registros:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de E/S AuditLoggingTarget | auditloggingtarget-io-creator |
Crie recursos personalizados AuditLoggingTarget no namespace do projeto. |
ClusterRole |
| Editor de E/S do AuditLoggingTarget | auditloggingtarget-io-editor |
Edite ou modifique recursos personalizados AuditLoggingTarget no namespace do projeto. |
ClusterRole |
| Leitor de E/S do AuditLoggingTarget | auditloggingtarget-io-viewer |
Veja os recursos personalizados AuditLoggingTarget no namespace do projeto. |
ClusterRole |
| Criador de backup e restauração de registros de auditoria | audit-logs-backup-restore-creator |
Crie uma configuração de job de transferência de backup e restaure os registros de auditoria. | Role |
| Editor de restauração de backup de registros de auditoria | audit-logs-backup-restore-editor |
Edite a configuração do job de transferência de backup e restaure os registros de auditoria. | Role |
| Leitor de buckets de infraestrutura de registros de auditoria | audit-logs-infra-bucket-viewer |
Acessar buckets de backup de registros de auditoria da infraestrutura. | Role |
| Criador de E/S do FluentBit | fluentbit-io-creator |
Crie recursos personalizados FluentBit no namespace do projeto. |
ClusterRole |
| Editor de E/S do FluentBit | fluentbit-io-editor |
Edite ou modifique recursos personalizados FluentBit no namespace do projeto. |
ClusterRole |
| Leitor de E/S do FluentBit | fluentbit-io-viewer |
Veja os recursos personalizados FluentBit no namespace do projeto. |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
Crie recursos personalizados LogCollector no namespace do projeto. |
ClusterRole |
| Editor de E/S do LogCollector | logcollector-io-editor |
Edite ou modifique recursos personalizados LogCollector no namespace do projeto. |
ClusterRole |
| Visualizador de E/S do LogCollector | logcollector-io-viewer |
Veja os recursos personalizados LogCollector no namespace do projeto. |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
Crie recursos personalizados LoggingRule no namespace do projeto. |
ClusterRole |
| Editor de E/S LoggingRule | loggingrule-io-editor |
Edite ou modifique recursos personalizados LoggingRule no namespace do projeto. |
ClusterRole |
| Leitor de IO LoggingRule | loggingrule-io-viewer |
Veja os recursos personalizados LoggingRule no namespace do projeto. |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
Crie recursos personalizados LoggingTarget no namespace do projeto. |
ClusterRole |
| Editor de E/S LoggingTarget | loggingtarget-io-editor |
Edite ou modifique recursos personalizados LoggingTarget no namespace do projeto. |
ClusterRole |
| Visualizador de E/S do LoggingTarget | loggingtarget-io-viewer |
Veja os recursos personalizados LoggingTarget no namespace do projeto. |
ClusterRole |
| Consultador da API Log Query | log-query-api-querier |
Acesse a API Log Query para consultar registros. | Role |
| Criador de infraestrutura de exportação do SIEM | siemexport-infra-creator |
Crie recursos personalizados SIEMInfraForwarder no namespace do projeto. |
Role |
| Editor de infraestrutura de exportação do SIEM | siemexport-infra-editor |
Edite ou modifique recursos personalizados SIEMInfraForwarder no namespace do projeto. |
Role |
| Leitor de infraestrutura de exportação do SIEM | siemexport-infra-viewer |
Veja os recursos personalizados SIEMInfraForwarder no namespace do projeto. |
Role |
Funções predefinidas no cluster de administrador raiz
Peça ao administrador de segurança as permissões adequadas para usar os serviços de geração de registros e monitoramento no cluster de administrador raiz.
Para conceder acesso aos recursos aos membros da equipe, atribua funções criando vinculações de função no cluster de administrador raiz usando o arquivo kubeconfig dele. Para conceder permissões ou receber acesso a papéis, consulte Conceder e revogar acesso.
Para mais informações, consulte Descrições de papéis predefinidos.
Recursos de monitoramento
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de monitoramento:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de painéis | dashboard-creator |
Crie recursos personalizados Dashboard no cluster de administrador raiz. |
ClusterRole |
| Editor de painel | dashboard-editor |
Edite ou modifique recursos personalizados Dashboard no cluster de administrador raiz. |
ClusterRole |
| Leitor de painéis | dashboard-viewer |
Veja os recursos personalizados Dashboard no cluster de administrador raiz. |
ClusterRole |
| Leitor do Grafana | grafana-viewer |
Visualize os dados de observabilidade nos painéis da instância de monitoramento do Grafana no cluster de administrador raiz. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
Crie recursos personalizados MonitoringRule no cluster de administrador raiz. |
ClusterRole |
| Editor do MonitoringRule | monitoringrule-editor |
Edite ou modifique recursos personalizados MonitoringRule no cluster de administrador raiz. |
ClusterRole |
| Leitor de MonitoringRule | monitoringrule-viewer |
Veja os recursos personalizados MonitoringRule no cluster de administrador raiz. |
ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
Crie recursos personalizados MonitoringTarget no cluster de administrador raiz. |
ClusterRole |
| Editor do MonitoringTarget | monitoringtarget-editor |
Edite ou modifique recursos personalizados MonitoringTarget no cluster de administrador raiz. |
ClusterRole |
| Leitor do MonitoringTarget | monitoringtarget-viewer |
Veja os recursos personalizados MonitoringTarget no cluster de administrador raiz. |
ClusterRole |
| Criador do ObservabilityPipeline | observabilitypipeline-creator |
Crie recursos personalizados ObservabilityPipeline no cluster de administrador raiz. |
ClusterRole |
| Editor do ObservabilityPipeline | observabilitypipeline-editor |
Edite ou modifique recursos personalizados ObservabilityPipeline no cluster de administrador raiz. |
ClusterRole |
| Leitor do ObservabilityPipeline | observabilitypipeline-viewer |
Veja os recursos personalizados ObservabilityPipeline no cluster de administrador raiz. |
ClusterRole |
| Editor do Alertmanager do Cortex raiz | root-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no cluster de administrador raiz. | Role |
| Leitor do Root Cortex Alertmanager | root-cortex-alertmanager-viewer |
Acesse a instância do Cortex Alertmanager no cluster de administrador raiz. | Role |
| Visualizador do Prometheus do Cortex raiz | root-cortex-prometheus-viewer |
Acesse a instância do Cortex Prometheus no cluster de administrador raiz. | Role |
| Leitor de ServiceLevelObjective | servicelevelobjective-viewer |
Visualize recursos personalizados ServiceLevelObjective no cluster de administrador raiz. |
ClusterRole |
Recursos do Logging
A tabela a seguir fornece detalhes sobre as permissões atribuídas a cada papel predefinido para recursos de geração de registros:
| Nome do papel | Nome do recurso do Kubernetes | Descrição da permissão | Tipo |
|---|---|---|---|
| Criador de AuditLoggingTarget | auditloggingtarget-creator |
Crie recursos personalizados AuditLoggingTarget no cluster de administrador raiz. |
ClusterRole |
| Editor do AuditLoggingTarget | auditloggingtarget-editor |
Edite ou modifique recursos personalizados AuditLoggingTarget no cluster de administrador raiz. |
ClusterRole |
| Leitor do AuditLoggingTarget | auditloggingtarget-viewer |
Veja os recursos personalizados AuditLoggingTarget no cluster de administrador raiz. |
ClusterRole |
| Criador de backup e restauração de registros de auditoria | audit-logs-backup-restore-creator |
Crie uma configuração de job de transferência de backup e restaure os registros de auditoria. | Role |
| Editor de restauração de backup de registros de auditoria | audit-logs-backup-restore-editor |
Edite a configuração do job de transferência de backup e restaure os registros de auditoria. | Role |
| Leitor de buckets de infraestrutura de registros de auditoria | audit-logs-infra-bucket-viewer |
Acessar buckets de backup de registros de auditoria da infraestrutura. | Role |
| Criador do FluentBit | fluentbit-creator |
Crie recursos personalizados FluentBit no cluster de administrador raiz. |
ClusterRole |
| Editor do FluentBit | fluentbit-editor |
Edite ou modifique recursos personalizados FluentBit no cluster de administrador raiz. |
ClusterRole |
| Leitor do FluentBit | fluentbit-viewer |
Veja os recursos personalizados FluentBit no cluster de administrador raiz. |
ClusterRole |
| Criador de LogCollector | logcollector-creator |
Crie recursos personalizados LogCollector no cluster de administrador raiz. |
ClusterRole |
| Editor do LogCollector | logcollector-editor |
Edite ou modifique recursos personalizados LogCollector no cluster de administrador raiz. |
ClusterRole |
| Leitor do LogCollector | logcollector-viewer |
Veja os recursos personalizados LogCollector no cluster de administrador raiz. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Crie recursos personalizados LoggingRule no cluster de administrador raiz. |
ClusterRole |
| Editor de LoggingRule | loggingrule-editor |
Edite ou modifique recursos personalizados LoggingRule no cluster de administrador raiz. |
ClusterRole |
| Leitor de LoggingRule | loggingrule-viewer |
Veja os recursos personalizados LoggingRule no cluster de administrador raiz. |
ClusterRole |
| Criador de infraestrutura de exportação do SIEM | siemexport-infra-creator |
Crie recursos personalizados SIEMInfraForwarder no cluster de administrador raiz. |
Role |
| Editor de infraestrutura de exportação do SIEM | siemexport-infra-editor |
Edite ou modifique recursos personalizados SIEMInfraForwarder no cluster de administrador raiz. |
Role |
| Leitor de infraestrutura de exportação do SIEM | siemexport-infra-viewer |
Veja os recursos personalizados SIEMInfraForwarder no cluster de administrador raiz. |
Role |