準備 IAM 權限

Google Distributed Cloud (GDC) air-gapped 提供身分與存取權管理 (IAM) 功能,可讓您詳細劃分特定 Distributed Cloud 資源的存取權限,同時避免其他資源遭到未經授權者擅自存取。IAM 遵循最低權限的安全性原則,並使用 IAM 角色和權限,控管哪些使用者可以存取特定資源。

角色是一組特定權限,會對應至資源的特定動作,並指派給個別主體,例如使用者、使用者群組或服務帳戶。因此,您必須具備適當的 IAM 角色和權限,才能在 Distributed Cloud 上使用監控和記錄服務。

Distributed Cloud 的 IAM 提供下列權限存取層級:

  • 機構層級角色:在機構層級授予主體權限,即可在全域 API 伺服器的所有專案命名空間中部署自訂資源,並在整個機構的所有專案中啟用服務。
  • 專案層級角色:在專案層級授予主體權限,即可將自訂資源部署到全域 API 伺服器的專案命名空間,並僅在專案命名空間中啟用服務。

如果無法存取或使用監控或記錄服務,請與管理員聯絡,要求授予必要角色。向專案 IAM 管理員要求特定專案的適當權限。如需機構層級的權限,請洽詢機構 IAM 管理員。

本頁面說明使用監控和記錄服務的所有角色及其各自的權限。

機構層級的預先定義角色

向機構 IAM 管理員要求適當權限,以便在機構中設定記錄和監控功能,並管理使用可觀測性服務的專案生命週期。

如要授予團隊成員全機構資源存取權,請使用全域 API 伺服器的 kubeconfig 檔案,在該伺服器上建立角色繫結,然後指派角色。如要在機構層級授予資源權限或取得角色存取權,請參閱「授予及撤銷存取權」。

監控資源

下表詳細列出各個預先定義角色在監控資源時的權限:

角色名稱 Kubernetes 資源名稱 權限說明
資訊主頁 PA 建立者 dashboard-pa-creator 建立Dashboard自訂資源。
資訊主頁 PA 編輯者 dashboard-pa-editor 編輯或修改 Dashboard 自訂資源。
資訊主頁 PA 檢視者 dashboard-pa-viewer 查看Dashboard自訂資源。
MonitoringRule PA Creator monitoringrule-pa-creator 建立MonitoringRule自訂資源。
MonitoringRule PA 編輯者 monitoringrule-pa-editor 編輯或修改 MonitoringRule 自訂資源。
MonitoringRule PA 檢視者 monitoringrule-pa-viewer 查看MonitoringRule自訂資源。
MonitoringTarget PA Creator monitoringtarget-pa-creator 建立MonitoringTarget自訂資源。
MonitoringTarget PA 編輯者 monitoringtarget-pa-editor 編輯或修改 MonitoringTarget 自訂資源。
MonitoringTarget PA 檢視者 monitoringtarget-pa-viewer 查看MonitoringTarget自訂資源。
ObservabilityPipeline PA Creator observabilitypipeline-pa-creator 建立ObservabilityPipeline自訂資源。
ObservabilityPipeline PA 編輯者 observabilitypipeline-pa-editor 編輯或修改 ObservabilityPipeline 自訂資源。
ObservabilityPipeline PA 檢視者 observabilitypipeline-pa-viewer 查看ObservabilityPipeline自訂資源。
機構 Grafana 檢視者 organization-grafana-viewer 在 Grafana 監控執行個體的資訊主頁上,以圖表呈現與機構相關的觀測資料。

記錄資源

下表詳細列出指派給記錄資源各預先定義角色的權限:

角色名稱 Kubernetes 資源名稱 權限說明
LoggingRule PA Creator loggingrule-pa-creator 建立LoggingRule自訂資源。
LoggingRule PA Editor loggingrule-pa-editor 編輯或修改 LoggingRule 自訂資源。
LoggingRule PA Viewer loggingrule-pa-viewer 查看LoggingRule自訂資源。
LoggingTarget PA Creator loggingtarget-pa-creator 建立LoggingTarget自訂資源。
LoggingTarget PA 編輯者 loggingtarget-pa-editor 編輯或修改 LoggingTarget 自訂資源。
LoggingTarget PA 檢視器 loggingtarget-pa-viewer 查看LoggingTarget自訂資源。

專案層級的預先定義角色

向專案 IAM 管理員要求適當的權限,以便在專案中使用記錄和監控服務。所有角色都必須繫結至您使用服務的專案命名空間。

如要授予團隊成員專案層級的資源存取權,請使用 kubeconfig 檔案,在全域 API 伺服器上建立角色繫結,然後指派角色。如要授予權限或取得專案層級資源的角色存取權,請參閱「授予及撤銷存取權」。

監控資源

下表詳細列出各個預先定義角色在監控資源時的權限:

角色名稱 Kubernetes 資源名稱 權限說明
ConfigMap 建立者 configmap-creator 在專案命名空間中建立 ConfigMap 物件。
資訊主頁編輯器 dashboard-editor 編輯或修改專案命名空間中的Dashboard自訂資源。
資訊主頁檢視者 dashboard-viewer 查看專案命名空間中的Dashboard自訂資源。
MonitoringRule 編輯者 monitoringrule-editor 編輯或修改專案命名空間中的MonitoringRule自訂資源。
MonitoringRule 檢視者 monitoringrule-viewer 查看專案命名空間中的MonitoringRule自訂資源。
MonitoringTarget 編輯者 monitoringtarget-editor 編輯或修改專案命名空間中的MonitoringTarget自訂資源。
MonitoringTarget Viewer monitoringtarget-viewer 查看專案命名空間中的MonitoringTarget自訂資源。
ObservabilityPipeline 編輯者 observabilitypipeline-editor 編輯或修改專案命名空間中的ObservabilityPipeline自訂資源。
ObservabilityPipeline 檢視者 observabilitypipeline-viewer 查看專案命名空間中的ObservabilityPipeline自訂資源。
Project Cortex Alertmanager 編輯者 project-cortex-alertmanager-editor 在專案命名空間中編輯 Cortex Alertmanager 執行個體。
Project Cortex Alertmanager 檢視者 project-cortex-alertmanager-viewer 存取專案命名空間中的 Cortex Alertmanager 執行個體。
Project Cortex Prometheus Viewer project-cortex-prometheus-viewer 存取專案命名空間中的 Cortex Prometheus 執行個體。
專案 Grafana 檢視者 project-grafana-viewer 在 Grafana 監控執行個體的資訊主頁上,以視覺化方式呈現專案相關的可觀測性資料。

記錄資源

下表詳細列出指派給記錄資源各預先定義角色的權限:

角色名稱 Kubernetes 資源名稱 權限說明
稽核記錄平台還原值區建立者 audit-logs-platform-restore-bucket-creator 建立備份值區,還原平台稽核記錄。
稽核記錄平台 Bucket 檢視者 audit-logs-platform-bucket-viewer 查看平台稽核記錄的備份儲存空間。
LoggingRule Creator loggingrule-creator 在專案命名空間中建立 LoggingRule 自訂資源。
LoggingRule 編輯器 loggingrule-editor 編輯或修改專案命名空間中的LoggingRule自訂資源。
LoggingRule Viewer loggingrule-viewer 查看專案命名空間中的LoggingRule自訂資源。
LoggingTarget Creator loggingtarget-creator 在專案命名空間中建立 LoggingTarget 自訂資源。
LoggingTarget 編輯器 loggingtarget-editor 編輯或修改專案命名空間中的LoggingTarget自訂資源。
LoggingTarget 檢視器 loggingtarget-viewer 查看專案命名空間中的LoggingTarget自訂資源。
Log Query API Querier log-query-api-querier 存取 Log Query API 來查詢記錄。
SIEM 匯出機構建立者 siemexport-org-creator 在專案命名空間中建立 SIEMOrgForwarder 自訂資源。
SIEM 匯出機構編輯者 siemexport-org-editor 編輯或修改專案命名空間中的SIEMOrgForwarder自訂資源。
SIEM 匯出項目機構檢視者 siemexport-org-viewer 查看專案命名空間中的SIEMOrgForwarder自訂資源。