准备 IAM 权限

Google Distributed Cloud (GDC) 空气隔离环境提供 Identity and Access Management (IAM),可让您授予对特定 Distributed Cloud 资源的细化访问权限,并防止对其他资源进行不必要的访问。IAM 遵循最小权限安全原则,并使用 IAM 角色和权限来控制哪些用户可以访问指定资源。

角色是指一组与资源上的特定操作相关联的特定权限,可分配给用户、用户群组或服务账号等各个正文。因此,您必须拥有适当的 IAM 角色和权限,才能在 Distributed Cloud 上使用监控和日志记录服务。

Distributed Cloud 上的 IAM 为权限提供以下访问权限级别:

  • 组织级角色:向正文授予组织级权限,以便在全局 API 服务器的所有项目命名空间中部署自定义资源,并启用整个组织的所有项目中的服务。
  • 项目级角色:向具有项目级权限的主账号授予将自定义资源部署到全局 API 服务器的项目命名空间并仅在您的项目命名空间中启用服务的权限。

如果您无法访问或使用监控或日志记录服务,请与管理员联系,以便管理员为您授予必要的角色。向项目 IAM 管理员请求获取给定项目的相应权限。如果您需要组织级层的权限,请改向组织 IAM 管理员提出申请。

本页介绍了使用监控和日志记录服务的所有角色及其各自的权限。

组织级层的预定义角色

向组织 IAM 管理员请求适当的权限,以便在组织中设置日志记录和监控,并管理使用可观测性服务的项目的生命周期。

如需向团队成员授予组织级资源访问权限,请使用全局 API 服务器的 kubeconfig 文件在其上创建角色绑定,以分配角色。如需在组织级层授予权限或接收对资源的访问权限,请参阅授予和撤消访问权限

监控资源

下表详细介绍了为监控资源分配给每个预定义角色的权限:

角色名称 Kubernetes 资源名称 权限说明
信息中心 PA 创建者 dashboard-pa-creator 创建 Dashboard 自定义资源。
信息中心 PA 编辑器 dashboard-pa-editor 修改或修改 Dashboard 自定义资源。
信息中心 PA 查看器 dashboard-pa-viewer 查看 Dashboard 自定义资源。
MonitoringRule PA Creator monitoringrule-pa-creator 创建 MonitoringRule 自定义资源。
MonitoringRule PA 编辑器 monitoringrule-pa-editor 修改或修改 MonitoringRule 自定义资源。
MonitoringRule PA 查看器 monitoringrule-pa-viewer 查看 MonitoringRule 自定义资源。
MonitoringTarget PA Creator monitoringtarget-pa-creator 创建 MonitoringTarget 自定义资源。
MonitoringTarget PA Editor monitoringtarget-pa-editor 修改或修改 MonitoringTarget 自定义资源。
MonitoringTarget PA 查看器 monitoringtarget-pa-viewer 查看 MonitoringTarget 自定义资源。
ObservabilityPipeline PA Creator observabilitypipeline-pa-creator 创建 ObservabilityPipeline 自定义资源。
ObservabilityPipeline PA Editor observabilitypipeline-pa-editor 修改或修改 ObservabilityPipeline 自定义资源。
ObservabilityPipeline PA Viewer observabilitypipeline-pa-viewer 查看 ObservabilityPipeline 自定义资源。
组织 Grafana 查看者 organization-grafana-viewer 在 Grafana 监控实例的信息中心上直观呈现组织相关可观测性数据。

日志记录资源

下表详细介绍了为日志记录资源分配给每个预定义角色的权限:

角色名称 Kubernetes 资源名称 权限说明
LoggingRule PA Creator loggingrule-pa-creator 创建 LoggingRule 自定义资源。
LoggingRule PA Editor loggingrule-pa-editor 修改或修改 LoggingRule 自定义资源。
LoggingRule PA 查看器 loggingrule-pa-viewer 查看 LoggingRule 自定义资源。
LoggingTarget PA Creator loggingtarget-pa-creator 创建 LoggingTarget 自定义资源。
LoggingTarget PA 编辑器 loggingtarget-pa-editor 修改或修改 LoggingTarget 自定义资源。
LoggingTarget PA Viewer loggingtarget-pa-viewer 查看 LoggingTarget 自定义资源。

项目级层的预定义角色

向项目 IAM 管理员请求适当的权限,以便在项目中使用日志记录和监控服务。所有角色都必须绑定到您使用服务的项目命名空间。

如需向团队成员授予项目范围的资源访问权限,请使用全局 API 服务器的 kubeconfig 文件,通过在该服务器上创建角色绑定来分配角色。如需授予权限或接收对项目级资源的访问权限,请参阅授予和撤消访问权限

监控资源

下表详细介绍了为监控资源分配给每个预定义角色的权限:

角色名称 Kubernetes 资源名称 权限说明
ConfigMap 创建工具 configmap-creator 在项目命名空间中创建 ConfigMap 对象。
信息中心编辑器 dashboard-editor 修改项目命名空间中的 Dashboard 自定义资源。
信息中心查看器 dashboard-viewer 查看项目命名空间中的 Dashboard 自定义资源。
MonitoringRule 编辑器 monitoringrule-editor 修改项目命名空间中的 MonitoringRule 自定义资源。
MonitoringRule 查看器 monitoringrule-viewer 查看项目命名空间中的 MonitoringRule 自定义资源。
MonitoringTarget 编辑器 monitoringtarget-editor 修改项目命名空间中的 MonitoringTarget 自定义资源。
MonitoringTarget 查看器 monitoringtarget-viewer 查看项目命名空间中的 MonitoringTarget 自定义资源。
ObservabilityPipeline Editor observabilitypipeline-editor 修改项目命名空间中的 ObservabilityPipeline 自定义资源。
ObservabilityPipeline Viewer observabilitypipeline-viewer 查看项目命名空间中的 ObservabilityPipeline 自定义资源。
Project Cortex Alertmanager 编辑器 project-cortex-alertmanager-editor 修改项目命名空间中的 Cortex Alertmanager 实例。
Project Cortex Alertmanager Viewer project-cortex-alertmanager-viewer 访问项目命名空间中的 Cortex Alertmanager 实例。
Project Cortex Prometheus 查看器 project-cortex-prometheus-viewer 访问项目命名空间中的 Cortex Prometheus 实例。
Project Grafana Viewer project-grafana-viewer 在 Grafana 监控实例的信息中心内直观呈现与项目相关的可观测性数据。

日志记录资源

下表详细介绍了为日志记录资源分配给每个预定义角色的权限:

角色名称 Kubernetes 资源名称 权限说明
Audit Logs Platform Restore Bucket Creator audit-logs-platform-restore-bucket-creator 创建备份存储分区以恢复平台审核日志。
Audit Logs Platform Bucket Viewer audit-logs-platform-bucket-viewer 查看平台审核日志的备份存储分区。
LoggingRule Creator loggingrule-creator 在项目命名空间中创建 LoggingRule 自定义资源。
LoggingRule 编辑器 loggingrule-editor 修改项目命名空间中的 LoggingRule 自定义资源。
LoggingRule 查看者 loggingrule-viewer 查看项目命名空间中的 LoggingRule 自定义资源。
LoggingTarget 创建者 loggingtarget-creator 在项目命名空间中创建 LoggingTarget 自定义资源。
LoggingTarget 编辑器 loggingtarget-editor 修改项目命名空间中的 LoggingTarget 自定义资源。
LoggingTarget 查看器 loggingtarget-viewer 查看项目命名空间中的 LoggingTarget 自定义资源。
日志查询 API 查询器 log-query-api-querier 访问 Log Query API 以查询日志。
SIEM Export Org Creator siemexport-org-creator 在项目命名空间中创建 SIEMOrgForwarder 自定义资源。
SIEM Export Org Editor siemexport-org-editor 修改项目命名空间中的 SIEMOrgForwarder 自定义资源。
SIEM Export Org Viewer siemexport-org-viewer 查看项目命名空间中的 SIEMOrgForwarder 自定义资源。