Google Distributed Cloud (GDC) air-gapped 提供身分與存取權管理 (IAM) 功能,可讓您詳細劃分特定 Distributed Cloud 資源的存取權限,同時避免其他資源遭到未經授權者擅自存取。IAM 遵循最低權限的安全性原則,並使用 IAM 角色和權限,控管哪些使用者可以存取特定資源。
角色是一組特定權限,會對應至資源的特定動作,並指派給個別主體,例如使用者、使用者群組或服務帳戶。因此,您必須具備適當的 IAM 角色和權限,才能在 Distributed Cloud 上使用監控和記錄服務。
Distributed Cloud 的 IAM 提供預先定義的角色類型,您可以在下列存取層級取得這些角色:
如果無法存取或使用監控或記錄服務,請與管理員聯絡,要求授予必要角色。向安全管理員要求適當權限。
本頁面說明使用監控和記錄服務的所有角色及其各自的權限。
專案層級的預先定義角色
向安全管理員要求適當的權限,以便在要管理可觀測性服務生命週期的 Management API 伺服器專案命名空間中,設定記錄和監控功能。
所有角色都必須繫結至您使用服務的 Management API 伺服器專案命名空間。如要授予團隊成員資源存取權,請使用 kubeconfig 檔案在 Management API 伺服器上建立角色繫結,藉此指派角色。如要授予權限或取得角色存取權,請參閱「授予及撤銷存取權」。
詳情請參閱預先定義的角色說明。
監控資源
下表詳細列出各個預先定義角色在監控資源時的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| ConfigMap 建立者 | configmap-creator |
在專案命名空間中建立 ConfigMap 物件。 |
Role |
| Dashboard IO Creator | dashboard-io-creator |
在專案命名空間中建立 Dashboard 自訂資源。 |
ClusterRole |
| 資訊主頁 IO 編輯者 | dashboard-io-editor |
編輯或修改專案命名空間中的Dashboard自訂資源。 |
ClusterRole |
| 資訊主頁 IO 檢視者 | dashboard-io-viewer |
查看專案命名空間中的Dashboard自訂資源。 |
ClusterRole |
| MonitoringRule IO 建立者 | monitoringrule-io-creator |
在專案命名空間中建立 MonitoringRule 自訂資源。 |
ClusterRole |
| MonitoringRule IO 編輯者 | monitoringrule-io-editor |
編輯或修改專案命名空間中的MonitoringRule自訂資源。 |
ClusterRole |
| MonitoringRule IO 檢視者 | monitoringrule-io-viewer |
查看專案命名空間中的MonitoringRule自訂資源。 |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
在專案命名空間中建立 MonitoringTarget 自訂資源。 |
ClusterRole |
| MonitoringTarget IO 編輯者 | monitoringtarget-io-editor |
編輯或修改專案命名空間中的MonitoringTarget自訂資源。 |
ClusterRole |
| MonitoringTarget IO Viewer | monitoringtarget-io-viewer |
查看專案命名空間中的MonitoringTarget自訂資源。 |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
在專案命名空間中建立 ObservabilityPipeline 自訂資源。 |
ClusterRole |
| ObservabilityPipeline IO 編輯者 | observabilitypipeline-io-editor |
編輯或修改專案命名空間中的ObservabilityPipeline自訂資源。 |
ClusterRole |
| ObservabilityPipeline IO 檢視者 | observabilitypipeline-io-viewer |
查看專案命名空間中的ObservabilityPipeline自訂資源。 |
ClusterRole |
| Project Cortex Alertmanager 編輯者 | project-cortex-alertmanager-editor |
在專案命名空間中編輯 Cortex Alertmanager 執行個體。 | Role |
| Project Cortex Alertmanager 檢視者 | project-cortex-alertmanager-viewer |
存取專案命名空間中的 Cortex Alertmanager 執行個體。 | Role |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
存取專案命名空間中的 Cortex Prometheus 執行個體。 | Role |
| 專案 Grafana 檢視者 | project-grafana-viewer |
在 Grafana 監控執行個體的資訊主頁上,以視覺化方式呈現專案相關的可觀測性資料。 | Role |
| ServiceLevelObjective 檢視者 | servicelevelobjective-viewer |
在 Management API 伺服器中,以視覺化方式呈現 ServiceLevelObjective 自訂資源。 |
ClusterRole |
記錄資源
下表詳細列出指派給記錄資源各預先定義角色的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
在專案命名空間中建立 AuditLoggingTarget 自訂資源。 |
ClusterRole |
| AuditLoggingTarget IO 編輯者 | auditloggingtarget-io-editor |
編輯或修改專案命名空間中的AuditLoggingTarget自訂資源。 |
ClusterRole |
| AuditLoggingTarget IO Viewer | auditloggingtarget-io-viewer |
查看專案命名空間中的AuditLoggingTarget自訂資源。 |
ClusterRole |
| 稽核記錄備份還原建立者 | audit-logs-backup-restore-creator |
建立備份轉移工作設定,並還原稽核記錄。 | Role |
| 稽核記錄備份還原編輯器 | audit-logs-backup-restore-editor |
編輯備份轉移工作設定,以及還原稽核記錄。 | Role |
| 稽核記錄基礎架構值區檢視者 | audit-logs-infra-bucket-viewer |
查看基礎架構稽核記錄的備份 bucket。 | Role |
| FluentBit IO Creator | fluentbit-io-creator |
在專案命名空間中建立 FluentBit 自訂資源。 |
ClusterRole |
| FluentBit IO 編輯器 | fluentbit-io-editor |
編輯或修改專案命名空間中的FluentBit自訂資源。 |
ClusterRole |
| FluentBit IO 檢視者 | fluentbit-io-viewer |
查看專案命名空間中的FluentBit自訂資源。 |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
在專案命名空間中建立 LogCollector 自訂資源。 |
ClusterRole |
| LogCollector IO Editor | logcollector-io-editor |
編輯或修改專案命名空間中的LogCollector自訂資源。 |
ClusterRole |
| LogCollector IO Viewer | logcollector-io-viewer |
查看專案命名空間中的LogCollector自訂資源。 |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
在專案命名空間中建立 LoggingRule 自訂資源。 |
ClusterRole |
| LoggingRule IO Editor | loggingrule-io-editor |
編輯或修改專案命名空間中的LoggingRule自訂資源。 |
ClusterRole |
| LoggingRule IO Viewer | loggingrule-io-viewer |
查看專案命名空間中的LoggingRule自訂資源。 |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
在專案命名空間中建立 LoggingTarget 自訂資源。 |
ClusterRole |
| LoggingTarget IO 編輯者 | loggingtarget-io-editor |
編輯或修改專案命名空間中的LoggingTarget自訂資源。 |
ClusterRole |
| LoggingTarget IO Viewer | loggingtarget-io-viewer |
查看專案命名空間中的LoggingTarget自訂資源。 |
ClusterRole |
| Log Query API Querier | log-query-api-querier |
存取 Log Query API 來查詢記錄。 | Role |
| SIEM 匯出基礎架構建立者 | siemexport-infra-creator |
在專案命名空間中建立 SIEMInfraForwarder 自訂資源。 |
Role |
| SIEM 匯出基礎架構編輯者 | siemexport-infra-editor |
編輯或修改專案命名空間中的SIEMInfraForwarder自訂資源。 |
Role |
| SIEM 匯出基礎架構檢視者 | siemexport-infra-viewer |
查看專案命名空間中的SIEMInfraForwarder自訂資源。 |
Role |
根管理員叢集中的預先定義角色
向安全管理員要求適當的權限,以便在根管理員叢集中使用記錄和監控服務。
如要授予團隊成員資源存取權,請使用根管理員叢集的 kubeconfig 檔案,在該叢集上建立角色繫結,然後指派角色。如要授予權限或取得角色存取權,請參閱「授予及撤銷存取權」一文。
詳情請參閱預先定義的角色說明。
監控資源
下表詳細列出各個預先定義角色在監控資源時的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| 資訊主頁建立者 | dashboard-creator |
在根管理員叢集中建立 Dashboard 自訂資源。 |
ClusterRole |
| 資訊主頁編輯器 | dashboard-editor |
在根管理員叢集中編輯或修改 Dashboard 自訂資源。 |
ClusterRole |
| 資訊主頁檢視者 | dashboard-viewer |
在根管理員叢集中查看 Dashboard 自訂資源。 |
ClusterRole |
| Grafana 檢視者 | grafana-viewer |
在根管理叢集的 Grafana 監控執行個體資訊主頁上,以視覺化方式呈現可觀測性資料。 | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
在根管理員叢集中建立 MonitoringRule 自訂資源。 |
ClusterRole |
| MonitoringRule 編輯者 | monitoringrule-editor |
在根管理員叢集中編輯或修改 MonitoringRule 自訂資源。 |
ClusterRole |
| MonitoringRule 檢視者 | monitoringrule-viewer |
在根管理員叢集中查看 MonitoringRule 自訂資源。 |
ClusterRole |
| 監控目標創作者 | monitoringtarget-creator |
在根管理員叢集中建立 MonitoringTarget 自訂資源。 |
ClusterRole |
| MonitoringTarget 編輯者 | monitoringtarget-editor |
在根管理員叢集中編輯或修改 MonitoringTarget 自訂資源。 |
ClusterRole |
| MonitoringTarget Viewer | monitoringtarget-viewer |
在根管理員叢集中查看 MonitoringTarget 自訂資源。 |
ClusterRole |
| ObservabilityPipeline 建立者 | observabilitypipeline-creator |
在根管理員叢集中建立 ObservabilityPipeline 自訂資源。 |
ClusterRole |
| ObservabilityPipeline 編輯者 | observabilitypipeline-editor |
在根管理員叢集中編輯或修改 ObservabilityPipeline 自訂資源。 |
ClusterRole |
| ObservabilityPipeline 檢視者 | observabilitypipeline-viewer |
在根管理員叢集中查看 ObservabilityPipeline 自訂資源。 |
ClusterRole |
| Root Cortex Alertmanager 編輯者 | root-cortex-alertmanager-editor |
在根管理員叢集中編輯 Cortex Alertmanager 執行個體。 | Role |
| Root Cortex Alertmanager 檢視者 | root-cortex-alertmanager-viewer |
在根管理員叢集中存取 Cortex Alertmanager 執行個體。 | Role |
| 根 Cortex Prometheus 檢視器 | root-cortex-prometheus-viewer |
在根管理叢集中存取 Cortex Prometheus 執行個體。 | Role |
| ServiceLevelObjective 檢視者 | servicelevelobjective-viewer |
在根管理員叢集中,以視覺化方式呈現 ServiceLevelObjective 自訂資源。 |
ClusterRole |
記錄資源
下表詳細列出指派給記錄資源各預先定義角色的權限:
| 角色名稱 | Kubernetes 資源名稱 | 權限說明 | 類型 |
|---|---|---|---|
| AuditLoggingTarget 建立者 | auditloggingtarget-creator |
在根管理員叢集中建立 AuditLoggingTarget 自訂資源。 |
ClusterRole |
| AuditLoggingTarget 編輯者 | auditloggingtarget-editor |
在根管理員叢集中編輯或修改 AuditLoggingTarget 自訂資源。 |
ClusterRole |
| AuditLoggingTarget 檢視者 | auditloggingtarget-viewer |
在根管理員叢集中查看 AuditLoggingTarget 自訂資源。 |
ClusterRole |
| 稽核記錄備份還原建立者 | audit-logs-backup-restore-creator |
建立備份轉移工作設定,並還原稽核記錄。 | Role |
| 稽核記錄備份還原編輯器 | audit-logs-backup-restore-editor |
編輯備份轉移工作設定,以及還原稽核記錄。 | Role |
| 稽核記錄基礎架構值區檢視者 | audit-logs-infra-bucket-viewer |
查看基礎架構稽核記錄的備份 bucket。 | Role |
| FluentBit Creator | fluentbit-creator |
在根管理員叢集中建立 FluentBit 自訂資源。 |
ClusterRole |
| FluentBit 編輯器 | fluentbit-editor |
在根管理員叢集中編輯或修改 FluentBit 自訂資源。 |
ClusterRole |
| FluentBit 檢視者 | fluentbit-viewer |
在根管理員叢集中查看 FluentBit 自訂資源。 |
ClusterRole |
| LogCollector Creator | logcollector-creator |
在根管理員叢集中建立 LogCollector 自訂資源。 |
ClusterRole |
| LogCollector 編輯器 | logcollector-editor |
在根管理員叢集中編輯或修改 LogCollector 自訂資源。 |
ClusterRole |
| LogCollector Viewer | logcollector-viewer |
在根管理員叢集中查看 LogCollector 自訂資源。 |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
在根管理員叢集中建立 LoggingRule 自訂資源。 |
ClusterRole |
| LoggingRule 編輯器 | loggingrule-editor |
在根管理員叢集中編輯或修改 LoggingRule 自訂資源。 |
ClusterRole |
| LoggingRule Viewer | loggingrule-viewer |
在根管理員叢集中查看 LoggingRule 自訂資源。 |
ClusterRole |
| SIEM 匯出基礎架構建立者 | siemexport-infra-creator |
在根管理員叢集中建立 SIEMInfraForwarder 自訂資源。 |
Role |
| SIEM 匯出基礎架構編輯者 | siemexport-infra-editor |
在根管理員叢集中編輯或修改 SIEMInfraForwarder 自訂資源。 |
Role |
| SIEM 匯出基礎架構檢視者 | siemexport-infra-viewer |
在根管理員叢集中查看 SIEMInfraForwarder 自訂資源。 |
Role |