O Google Distributed Cloud (GDC) air-gapped oferece gestão de identidade e de acesso (IAM) para acesso detalhado a recursos específicos do Distributed Cloud e impede o acesso indesejado a outros recursos. A IAM opera com base no princípio de segurança do menor privilégio e controla quem pode aceder a determinados recursos através das funções e autorizações da IAM.
Uma função é um conjunto de autorizações específicas mapeadas para determinadas ações em recursos e atribuídas a indivíduos, como utilizadores, grupos de utilizadores ou contas de serviço. Por conseguinte, tem de ter as funções e as autorizações da IAM adequadas para usar os serviços de monitorização e registo no Distributed Cloud.
O IAM na nuvem distribuída oferece os seguintes níveis de acesso para autorizações:
- Funções ao nível da organização: conceda a um sujeito autorizações ao nível da organização para implementar recursos personalizados em todos os espaços de nomes de projetos do servidor de API global e ative serviços em todos os projetos de toda a sua organização.
- Funções ao nível do projeto: conceda a um assunto autorizações ao nível do projeto para implementar recursos personalizados no espaço de nomes do projeto do servidor da API global e ative os serviços apenas no espaço de nomes do projeto.
Se não conseguir aceder ou usar um serviço de monitorização ou registo, contacte o seu administrador para que lhe conceda as funções necessárias. Peça as autorizações adequadas ao administrador de IAM do projeto para um determinado projeto. Se precisar de autorizações ao nível da organização, peça-as ao administrador do IAM da organização.
Esta página descreve todas as funções e as respetivas autorizações para usar os serviços de monitorização e registo.
Funções predefinidas ao nível da organização
Peça as autorizações adequadas ao administrador de IAM da sua organização para configurar o registo e a monitorização numa organização e gerir o ciclo de vida de um projeto que usa serviços de observabilidade.
Para conceder aos membros da equipa acesso a recursos ao nível da organização, atribua funções criando associações de funções no servidor da API global através do respetivo ficheiro kubeconfig. Para conceder autorizações ou receber acesso a funções aos recursos ao nível da organização, consulte o artigo Conceda e revogue o acesso.
Monitorizar recursos
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para recursos de monitorização:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização |
|---|---|---|
| Dashboard PA Creator | dashboard-pa-creator |
Crie Dashboardrecursos personalizados. |
| Editor de PA do painel de controlo | dashboard-pa-editor |
Edite ou modifique Dashboard recursos personalizados. |
| Visualizador de PA do painel de controlo | dashboard-pa-viewer |
Ver Dashboardrecursos personalizados. |
| MonitoringRule PA Creator | monitoringrule-pa-creator |
Crie MonitoringRulerecursos personalizados. |
| MonitoringRule PA Editor | monitoringrule-pa-editor |
Edite ou modifique MonitoringRule recursos personalizados. |
| MonitoringRule PA Viewer | monitoringrule-pa-viewer |
Ver MonitoringRulerecursos personalizados. |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
Crie MonitoringTargetrecursos personalizados. |
| Editor de PA MonitoringTarget | monitoringtarget-pa-editor |
Edite ou modifique MonitoringTarget recursos personalizados. |
| MonitoringTarget PA Viewer | monitoringtarget-pa-viewer |
Ver MonitoringTargetrecursos personalizados. |
| ObservabilityPipeline PA Creator | observabilitypipeline-pa-creator |
Crie ObservabilityPipelinerecursos personalizados. |
| Editor de PA da ObservabilityPipeline | observabilitypipeline-pa-editor |
Edite ou modifique ObservabilityPipeline recursos personalizados. |
| Visualizador de PA da ObservabilityPipeline | observabilitypipeline-pa-viewer |
Ver ObservabilityPipelinerecursos personalizados. |
| Visitante do Grafana da organização | organization-grafana-viewer |
Visualize dados de observabilidade relacionados com a organização em painéis de controlo da instância de monitorização do Grafana. |
Recursos de registo
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para registar recursos:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização |
|---|---|---|
| LoggingRule PA Creator | loggingrule-pa-creator |
Crie LoggingRulerecursos personalizados. |
| LoggingRule PA Editor | loggingrule-pa-editor |
Edite ou modifique LoggingRule recursos personalizados. |
| LoggingRule PA Viewer | loggingrule-pa-viewer |
Ver LoggingRulerecursos personalizados. |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
Crie LoggingTargetrecursos personalizados. |
| LoggingTarget PA Editor | loggingtarget-pa-editor |
Edite ou modifique LoggingTarget recursos personalizados. |
| LoggingTarget PA Viewer | loggingtarget-pa-viewer |
Ver LoggingTargetrecursos personalizados. |
Funções predefinidas ao nível do projeto
Peça as autorizações adequadas ao administrador de IAM do projeto para usar os serviços de registo e monitorização num projeto. Todas as funções têm de ser vinculadas ao espaço de nomes do projeto onde está a usar o serviço.
Para conceder aos membros da equipa acesso aos recursos ao nível do projeto, atribua funções através da criação de associações de funções no servidor da API global com o respetivo ficheiro kubeconfig. Para conceder autorizações ou receber acesso a funções aos recursos ao nível do projeto, consulte o artigo Conceda e revogue o acesso.
Monitorizar recursos
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para recursos de monitorização:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização |
|---|---|---|
| ConfigMap Creator | configmap-creator |
Crie objetos ConfigMap no espaço de nomes do projeto. |
| Editor de painéis de controlo | dashboard-editor |
Editar ou modificar recursos personalizados Dashboard no espaço de nomes do projeto. |
| Visualizador do painel de controlo | dashboard-viewer |
Veja Dashboard recursos personalizados no espaço de nomes do projeto. |
| Editor de regras de monitorização | monitoringrule-editor |
Editar ou modificar recursos personalizados MonitoringRule no espaço de nomes do projeto. |
| MonitoringRule Viewer | monitoringrule-viewer |
Veja MonitoringRule recursos personalizados no espaço de nomes do projeto. |
| MonitoringTarget Editor | monitoringtarget-editor |
Editar ou modificar recursos personalizados MonitoringTarget no espaço de nomes do projeto. |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Veja MonitoringTarget recursos personalizados no espaço de nomes do projeto. |
| Editor ObservabilityPipeline | observabilitypipeline-editor |
Editar ou modificar recursos personalizados ObservabilityPipeline no espaço de nomes do projeto. |
| Visualizador da ObservabilityPipeline | observabilitypipeline-viewer |
Veja ObservabilityPipeline recursos personalizados no espaço de nomes do projeto. |
| Editor do Alertmanager do Project Cortex | project-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no espaço de nomes do projeto. |
| Visualizador do Alertmanager do Project Cortex | project-cortex-alertmanager-viewer |
Aceda à instância do Cortex Alertmanager no espaço de nomes do projeto. |
| Visualizador do Prometheus do Project Cortex | project-cortex-prometheus-viewer |
Aceda à instância do Cortex Prometheus no espaço de nomes do projeto. |
| Visualizador do Grafana do projeto | project-grafana-viewer |
Visualize dados de observabilidade relacionados com o projeto em painéis de controlo da instância de monitorização do Grafana. |
Recursos de registo
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para registar recursos:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização |
|---|---|---|
| Audit Logs Platform Restore Bucket Creator | audit-logs-platform-restore-bucket-creator |
Crie contentores de cópia de segurança para restaurar os registos de auditoria da plataforma. |
| Visualizador de contentor da plataforma de registos de auditoria | audit-logs-platform-bucket-viewer |
Veja contentores de cópias de segurança de registos de auditoria da plataforma. |
| LoggingRule Creator | loggingrule-creator |
Crie recursos personalizados LoggingRule no espaço de nomes do projeto. |
| LoggingRule Editor | loggingrule-editor |
Editar ou modificar recursos personalizados LoggingRule no espaço de nomes do projeto. |
| LoggingRule Viewer | loggingrule-viewer |
Veja LoggingRule recursos personalizados no espaço de nomes do projeto. |
| LoggingTarget Creator | loggingtarget-creator |
Crie recursos personalizados LoggingTarget no espaço de nomes do projeto. |
| LoggingTarget Editor | loggingtarget-editor |
Editar ou modificar recursos personalizados LoggingTarget no espaço de nomes do projeto. |
| LoggingTarget Viewer | loggingtarget-viewer |
Veja LoggingTarget recursos personalizados no espaço de nomes do projeto. |
| Log Query API Querier | log-query-api-querier |
Aceda à API Log Query para consultar registos. |
| SIEM Export Org Creator | siemexport-org-creator |
Crie recursos personalizados SIEMOrgForwarder no espaço de nomes do projeto. |
| SIEM Export Org Editor | siemexport-org-editor |
Editar ou modificar recursos personalizados SIEMOrgForwarder no espaço de nomes do projeto. |
| SIEM Export Org Viewer | siemexport-org-viewer |
Veja SIEMOrgForwarder recursos personalizados no espaço de nomes do projeto. |