Google Distributed Cloud (GDC) 에어갭은 특정 Distributed Cloud 리소스에 대한 세분화된 액세스를 위한 Identity and Access Management (IAM)를 제공하고 다른 리소스에 대한 무단 액세스를 방지합니다. IAM은 최소 권한의 보안 원칙에 따라 작동하며 IAM 역할과 권한을 사용하여 특정 리소스에 액세스할 수 있는 사용자를 제어합니다.
역할은 리소스에 대한 특정 작업에 매핑되고 사용자, 사용자 그룹 또는 서비스 계정과 같은 개별 주체에 할당된 특정 권한의 모음입니다. 따라서 Distributed Cloud에서 모니터링 및 로깅 서비스를 사용하려면 적절한 IAM 역할과 권한이 있어야 합니다.
Distributed Cloud의 IAM은 권한에 대해 다음과 같은 액세스 수준을 제공합니다.
- 조직 수준 역할: 조직 수준에서 권한이 있는 주체에게 전역 API 서버의 모든 프로젝트 네임스페이스에 커스텀 리소스를 배포하고 전체 조직의 모든 프로젝트에서 서비스를 사용 설정할 수 있는 권한을 부여합니다.
- 프로젝트 수준 역할: 프로젝트 수준의 권한이 있는 주체에게 전역 API 서버의 프로젝트 네임스페이스에 커스텀 리소스를 배포하고 프로젝트 네임스페이스에서만 서비스를 사용 설정할 수 있는 권한을 부여합니다.
모니터링 또는 로깅 서비스에 액세스하거나 사용할 수 없는 경우 관리자에게 문의하여 필요한 역할을 부여받으세요. 특정 프로젝트의 프로젝트 IAM 관리자에게 적절한 권한을 요청합니다. 조직 수준의 권한이 필요한 경우 조직 IAM 관리자에게 문의하세요.
이 페이지에서는 모니터링 및 로깅 서비스를 사용하는 데 필요한 모든 역할과 각 역할의 권한을 설명합니다.
조직 수준의 사전 정의된 역할
조직에서 로깅 및 모니터링을 설정하고 관측 가능성 서비스를 사용하는 프로젝트의 수명 주기를 관리하려면 조직 IAM 관리자에게 적절한 권한을 요청하세요.
팀 구성원에게 조직 전체 리소스 액세스 권한을 부여하려면 kubeconfig 파일을 사용하여 전역 API 서버에서 역할 바인딩을 만들어 역할을 할당하세요. 조직 수준에서 리소스에 대한 권한을 부여하거나 역할 액세스 권한을 받으려면 액세스 권한 부여 및 취소를 참고하세요.
리소스 모니터링
다음 표에는 모니터링 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 |
|---|---|---|
| 대시보드 PA 생성자 | dashboard-pa-creator |
Dashboard 커스텀 리소스를 만듭니다. |
| 대시보드 PA 편집기 | dashboard-pa-editor |
Dashboard 커스텀 리소스를 수정합니다. |
| 대시보드 PA 뷰어 | dashboard-pa-viewer |
Dashboard 커스텀 리소스를 확인합니다. |
| MonitoringRule PA Creator | monitoringrule-pa-creator |
MonitoringRule 커스텀 리소스를 만듭니다. |
| MonitoringRule PA 편집자 | monitoringrule-pa-editor |
MonitoringRule 커스텀 리소스를 수정합니다. |
| MonitoringRule PA 뷰어 | monitoringrule-pa-viewer |
MonitoringRule 커스텀 리소스를 확인합니다. |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
MonitoringTarget 커스텀 리소스를 만듭니다. |
| MonitoringTarget PA Editor | monitoringtarget-pa-editor |
MonitoringTarget 커스텀 리소스를 수정합니다. |
| MonitoringTarget PA Viewer | monitoringtarget-pa-viewer |
MonitoringTarget 커스텀 리소스를 확인합니다. |
| ObservabilityPipeline PA 생성자 | observabilitypipeline-pa-creator |
ObservabilityPipeline 커스텀 리소스를 만듭니다. |
| ObservabilityPipeline PA 편집자 | observabilitypipeline-pa-editor |
ObservabilityPipeline 커스텀 리소스를 수정합니다. |
| ObservabilityPipeline PA 뷰어 | observabilitypipeline-pa-viewer |
ObservabilityPipeline 커스텀 리소스를 확인합니다. |
| 조직 Grafana 뷰어 | organization-grafana-viewer |
Grafana 모니터링 인스턴스의 대시보드에서 조직 관련 관측 가능성 데이터를 시각화합니다. |
로깅 리소스
다음 표에는 로깅 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 |
|---|---|---|
| LoggingRule PA Creator | loggingrule-pa-creator |
LoggingRule 커스텀 리소스를 만듭니다. |
| LoggingRule PA Editor | loggingrule-pa-editor |
LoggingRule 커스텀 리소스를 수정합니다. |
| LoggingRule PA Viewer | loggingrule-pa-viewer |
LoggingRule 커스텀 리소스를 확인합니다. |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
LoggingTarget 커스텀 리소스를 만듭니다. |
| LoggingTarget PA 편집자 | loggingtarget-pa-editor |
LoggingTarget 커스텀 리소스를 수정합니다. |
| LoggingTarget PA 뷰어 | loggingtarget-pa-viewer |
LoggingTarget 커스텀 리소스를 확인합니다. |
프로젝트 수준의 사전 정의된 역할
프로젝트에서 로깅 및 모니터링 서비스를 사용하려면 프로젝트 IAM 관리자에게 적절한 권한을 요청하세요. 모든 역할은 서비스를 사용하는 프로젝트 네임스페이스에 바인드되어야 합니다.
팀 구성원에게 프로젝트 전체 리소스 액세스 권한을 부여하려면 kubeconfig 파일을 사용하여 전역 API 서버에서 역할 바인딩을 만들어 역할을 할당합니다. 프로젝트 수준에서 리소스에 대한 권한을 부여하거나 역할 액세스 권한을 받으려면 액세스 권한 부여 및 취소를 참고하세요.
리소스 모니터링
다음 표에는 모니터링 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 |
|---|---|---|
| ConfigMap 생성자 | configmap-creator |
프로젝트 네임스페이스에 ConfigMap 객체를 만듭니다. |
| 대시보드 편집기 | dashboard-editor |
프로젝트 네임스페이스에서 Dashboard 커스텀 리소스를 수정합니다. |
| 대시보드 뷰어 | dashboard-viewer |
프로젝트 네임스페이스에서 Dashboard 커스텀 리소스를 확인합니다. |
| MonitoringRule 편집자 | monitoringrule-editor |
프로젝트 네임스페이스에서 MonitoringRule 커스텀 리소스를 수정합니다. |
| MonitoringRule 뷰어 | monitoringrule-viewer |
프로젝트 네임스페이스에서 MonitoringRule 커스텀 리소스를 확인합니다. |
| MonitoringTarget 편집자 | monitoringtarget-editor |
프로젝트 네임스페이스에서 MonitoringTarget 커스텀 리소스를 수정합니다. |
| MonitoringTarget 뷰어 | monitoringtarget-viewer |
프로젝트 네임스페이스에서 MonitoringTarget 커스텀 리소스를 확인합니다. |
| ObservabilityPipeline 편집자 | observabilitypipeline-editor |
프로젝트 네임스페이스에서 ObservabilityPipeline 커스텀 리소스를 수정합니다. |
| ObservabilityPipeline 뷰어 | observabilitypipeline-viewer |
프로젝트 네임스페이스에서 ObservabilityPipeline 커스텀 리소스를 확인합니다. |
| Project Cortex Alertmanager 편집자 | project-cortex-alertmanager-editor |
프로젝트 네임스페이스에서 Cortex Alertmanager 인스턴스를 수정합니다. |
| Project Cortex Alertmanager 뷰어 | project-cortex-alertmanager-viewer |
프로젝트 네임스페이스에서 Cortex Alertmanager 인스턴스에 액세스합니다. |
| Project Cortex Prometheus 뷰어 | project-cortex-prometheus-viewer |
프로젝트 네임스페이스에서 Cortex Prometheus 인스턴스에 액세스합니다. |
| 프로젝트 Grafana 뷰어 | project-grafana-viewer |
Grafana 모니터링 인스턴스의 대시보드에서 프로젝트 관련 관측 가능성 데이터를 시각화합니다. |
로깅 리소스
다음 표에는 로깅 리소스에 대해 사전 정의된 각 역할에 할당된 권한에 관한 세부정보가 나와 있습니다.
| 역할 이름 | Kubernetes 리소스 이름 | 권한 설명 |
|---|---|---|
| 감사 로그 플랫폼 복원 버킷 생성자 | audit-logs-platform-restore-bucket-creator |
플랫폼 감사 로그를 복원할 백업 버킷을 만듭니다. |
| 감사 로그 플랫폼 버킷 뷰어 | audit-logs-platform-bucket-viewer |
플랫폼 감사 로그의 백업 버킷을 봅니다. |
| LoggingRule Creator | loggingrule-creator |
프로젝트 네임스페이스에 LoggingRule 커스텀 리소스를 만듭니다. |
| LoggingRule 편집기 | loggingrule-editor |
프로젝트 네임스페이스에서 LoggingRule 커스텀 리소스를 수정합니다. |
| LoggingRule Viewer | loggingrule-viewer |
프로젝트 네임스페이스에서 LoggingRule 커스텀 리소스를 확인합니다. |
| LoggingTarget Creator | loggingtarget-creator |
프로젝트 네임스페이스에 LoggingTarget 커스텀 리소스를 만듭니다. |
| LoggingTarget 편집기 | loggingtarget-editor |
프로젝트 네임스페이스에서 LoggingTarget 커스텀 리소스를 수정합니다. |
| LoggingTarget 뷰어 | loggingtarget-viewer |
프로젝트 네임스페이스에서 LoggingTarget 커스텀 리소스를 확인합니다. |
| 로그 쿼리 API 쿼리 도구 | log-query-api-querier |
로그 쿼리 API에 액세스하여 로그를 쿼리합니다. |
| SIEM 내보내기 조직 생성자 | siemexport-org-creator |
프로젝트 네임스페이스에 SIEMOrgForwarder 커스텀 리소스를 만듭니다. |
| SIEM 내보내기 조직 편집자 | siemexport-org-editor |
프로젝트 네임스페이스에서 SIEMOrgForwarder 커스텀 리소스를 수정합니다. |
| SIEM 내보내기 조직 뷰어 | siemexport-org-viewer |
프로젝트 네임스페이스에서 SIEMOrgForwarder 커스텀 리소스를 확인합니다. |