O dispositivo isolado do Google Distributed Cloud (GDC) oferece gestão de identidade e de acesso (IAM) para acesso detalhado a recursos específicos do dispositivo isolado do GDC e impede o acesso indesejado a outros recursos. A IAM opera com base no princípio de segurança do menor privilégio e controla quem pode aceder a determinados recursos através das funções e autorizações da IAM.
Uma função é um conjunto de autorizações específicas mapeadas para determinadas ações em recursos e atribuídas a indivíduos, como utilizadores, grupos de utilizadores ou contas de serviço. Por conseguinte, tem de ter as funções e as autorizações de IAM adequadas para usar os serviços de monitorização e registo no dispositivo isolado do GDC.
Autorizações de IAM para o operador de infraestrutura
A IAM no dispositivo isolado do GDC oferece tipos de funções predefinidos que pode obter nos seguintes níveis de acesso:
- Servidor da API Management: conceda a um assunto autorizações para gerir recursos personalizados ao nível do projeto no espaço de nomes do projeto do servidor da API Management onde quer usar os serviços de registo e monitorização.
- Cluster de administrador raiz: conceda a um assunto autorizações para gerir recursos de infraestrutura no cluster de administrador raiz.
Se não conseguir aceder ou usar um serviço de monitorização ou registo, contacte o seu administrador para que lhe conceda as funções necessárias. Peça as autorizações adequadas ao seu administrador de segurança.
Esta página descreve todas as funções e as respetivas autorizações para usar os serviços de monitorização e registo.
Funções predefinidas ao nível do projeto
Peça as autorizações adequadas ao administrador de segurança para configurar o registo e a monitorização no espaço de nomes do projeto do servidor da API Management onde quer gerir o ciclo de vida dos serviços de observabilidade.
Todas as funções têm de estar associadas ao espaço de nomes do projeto do servidor da API Management onde está a usar o serviço. Para conceder aos membros da equipa acesso aos recursos, atribua funções criando associações de funções no servidor da API Management através do respetivo ficheiro kubeconfig. Para conceder autorizações ou receber acesso a funções, consulte o artigo Conceda e revogue o acesso.
Para mais informações, consulte o artigo Descrições de funções predefinidas.
Monitorizar recursos
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para recursos de monitorização:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| ConfigMap Creator | configmap-creator |
Crie objetos ConfigMap no espaço de nomes do projeto. |
Role |
| Dashboard IO Creator | dashboard-io-creator |
Crie recursos personalizados Dashboard no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO do painel de controlo | dashboard-io-editor |
Editar ou modificar recursos personalizados Dashboard no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO do painel de controlo | dashboard-io-viewer |
Veja Dashboard recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| MonitoringRule IO Creator | monitoringrule-io-creator |
Crie recursos personalizados MonitoringRule no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO de MonitoringRule | monitoringrule-io-editor |
Editar ou modificar recursos personalizados MonitoringRule no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO de MonitoringRule | monitoringrule-io-viewer |
Veja MonitoringRule recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
Crie recursos personalizados MonitoringTarget no espaço de nomes do projeto. |
ClusterRole |
| Editor de IOs MonitoringTarget | monitoringtarget-io-editor |
Editar ou modificar recursos personalizados MonitoringTarget no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO de MonitoringTarget | monitoringtarget-io-viewer |
Veja MonitoringTarget recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
Crie recursos personalizados ObservabilityPipeline no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO da ObservabilityPipeline | observabilitypipeline-io-editor |
Editar ou modificar recursos personalizados ObservabilityPipeline no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO da ObservabilityPipeline | observabilitypipeline-io-viewer |
Veja ObservabilityPipeline recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| Editor do Alertmanager do Project Cortex | project-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no espaço de nomes do projeto. | Role |
| Visualizador do Alertmanager do Project Cortex | project-cortex-alertmanager-viewer |
Aceda à instância do Cortex Alertmanager no espaço de nomes do projeto. | Role |
| Visualizador do Prometheus do Project Cortex | project-cortex-prometheus-viewer |
Aceda à instância do Cortex Prometheus no espaço de nomes do projeto. | Role |
| Visualizador do Grafana do projeto | project-grafana-viewer |
Visualize dados de observabilidade relacionados com o projeto em painéis de controlo da instância de monitorização do Grafana. | Role |
| Visualizador de ServiceLevelObjective | servicelevelobjective-viewer |
Visualize recursos personalizados ServiceLevelObjective no servidor da API de gestão. |
ClusterRole |
Recursos de registo
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para registar recursos:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| AuditLoggingTarget IO Creator | auditloggingtarget-io-creator |
Crie recursos personalizados AuditLoggingTarget no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO AuditLoggingTarget | auditloggingtarget-io-editor |
Editar ou modificar recursos personalizados AuditLoggingTarget no espaço de nomes do projeto. |
ClusterRole |
| Leitor de IO AuditLoggingTarget | auditloggingtarget-io-viewer |
Veja AuditLoggingTarget recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| Criador de restauro de cópias de segurança de registos de auditoria | audit-logs-backup-restore-creator |
Crie uma configuração de tarefa de transferência de cópia de segurança e restaure os registos de auditoria. | Role |
| Editor de restauro de cópias de segurança dos registos de auditoria | audit-logs-backup-restore-editor |
Edite a configuração da tarefa de transferência de cópia de segurança e restaure os registos de auditoria. | Role |
| Visualizador do contentor de infraestrutura dos registos de auditoria | audit-logs-infra-bucket-viewer |
Veja contentores de cópias de segurança de registos de auditoria da infraestrutura. | Role |
| FluentBit IO Creator | fluentbit-io-creator |
Crie recursos personalizados FluentBit no espaço de nomes do projeto. |
ClusterRole |
| Editor de IO do FluentBit | fluentbit-io-editor |
Editar ou modificar recursos personalizados FluentBit no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO do FluentBit | fluentbit-io-viewer |
Veja FluentBit recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| LogCollector IO Creator | logcollector-io-creator |
Crie recursos personalizados LogCollector no espaço de nomes do projeto. |
ClusterRole |
| LogCollector IO Editor | logcollector-io-editor |
Editar ou modificar recursos personalizados LogCollector no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO do LogCollector | logcollector-io-viewer |
Veja LogCollector recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| LoggingRule IO Creator | loggingrule-io-creator |
Crie recursos personalizados LoggingRule no espaço de nomes do projeto. |
ClusterRole |
| LoggingRule IO Editor | loggingrule-io-editor |
Editar ou modificar recursos personalizados LoggingRule no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO de LoggingRule | loggingrule-io-viewer |
Veja LoggingRule recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
| LoggingTarget IO Creator | loggingtarget-io-creator |
Crie recursos personalizados LoggingTarget no espaço de nomes do projeto. |
ClusterRole |
| LoggingTarget IO Editor | loggingtarget-io-editor |
Editar ou modificar recursos personalizados LoggingTarget no espaço de nomes do projeto. |
ClusterRole |
| Visualizador de IO LoggingTarget | loggingtarget-io-viewer |
Veja LoggingTarget recursos personalizados no espaço de nomes do projeto. |
ClusterRole |
Funções predefinidas no cluster de administrador raiz
Peça as autorizações adequadas ao administrador de segurança para usar os serviços de registo e monitorização no cluster de administrador raiz.
Para conceder aos membros da equipa acesso aos recursos, atribua funções criando associações de funções no cluster de administrador raiz através do respetivo ficheiro kubeconfig. Para conceder autorizações ou receber acesso a funções, consulte o artigo Conceda e revogue o acesso.
Para mais informações, consulte o artigo Descrições de funções predefinidas.
Monitorizar recursos
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para recursos de monitorização:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| Criador de painéis de controlo | dashboard-creator |
Crie Dashboard recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor de painéis de controlo | dashboard-editor |
Edite ou modifique recursos personalizados Dashboard no cluster de administrador raiz. |
ClusterRole |
| Visualizador do painel de controlo | dashboard-viewer |
Ver Dashboardrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Visualizador do Grafana | grafana-viewer |
Visualize dados de observabilidade em painéis de controlo da instância de monitorização do Grafana no cluster de administrador raiz. | ClusterRole |
| MonitoringRule Creator | monitoringrule-creator |
Crie MonitoringRule recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor de regras de monitorização | monitoringrule-editor |
Edite ou modifique recursos personalizados MonitoringRule no cluster de administrador raiz. |
ClusterRole |
| MonitoringRule Viewer | monitoringrule-viewer |
Ver MonitoringRulerecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
Crie MonitoringTarget recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| MonitoringTarget Editor | monitoringtarget-editor |
Edite ou modifique recursos personalizados MonitoringTarget no cluster de administrador raiz. |
ClusterRole |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Ver MonitoringTargetrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| ObservabilityPipeline Creator | observabilitypipeline-creator |
Crie ObservabilityPipeline recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor ObservabilityPipeline | observabilitypipeline-editor |
Edite ou modifique recursos personalizados ObservabilityPipeline no cluster de administrador raiz. |
ClusterRole |
| Visualizador da ObservabilityPipeline | observabilitypipeline-viewer |
Ver ObservabilityPipelinerecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor do Alertmanager do Cortex raiz | root-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no cluster de administração raiz. | Role |
| Visualizador do Alertmanager do Cortex raiz | root-cortex-alertmanager-viewer |
Aceda à instância do Cortex Alertmanager no cluster de administrador raiz. | Role |
| Root Cortex Prometheus Viewer | root-cortex-prometheus-viewer |
Aceda à instância do Cortex Prometheus no cluster de administrador raiz. | Role |
| Visualizador de ServiceLevelObjective | servicelevelobjective-viewer |
Visualize ServiceLevelObjective recursos personalizados no cluster de administrador raiz. |
ClusterRole |
Recursos de registo
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para registar recursos:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| AuditLoggingTarget Creator | auditloggingtarget-creator |
Crie AuditLoggingTarget recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor AuditLoggingTarget | auditloggingtarget-editor |
Edite ou modifique recursos personalizados AuditLoggingTarget no cluster de administrador raiz. |
ClusterRole |
| Visualizador de AuditLoggingTarget | auditloggingtarget-viewer |
Ver AuditLoggingTargetrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Criador de restauro de cópias de segurança de registos de auditoria | audit-logs-backup-restore-creator |
Crie uma configuração de tarefa de transferência de cópia de segurança e restaure os registos de auditoria. | Role |
| Editor de restauro de cópias de segurança dos registos de auditoria | audit-logs-backup-restore-editor |
Edite a configuração da tarefa de transferência de cópia de segurança e restaure os registos de auditoria. | Role |
| Visualizador do contentor de infraestrutura dos registos de auditoria | audit-logs-infra-bucket-viewer |
Veja contentores de cópias de segurança de registos de auditoria da infraestrutura. | Role |
| FluentBit Creator | fluentbit-creator |
Crie FluentBit recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor do FluentBit | fluentbit-editor |
Edite ou modifique recursos personalizados FluentBit no cluster de administrador raiz. |
ClusterRole |
| Visualizador do FluentBit | fluentbit-viewer |
Ver FluentBitrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Criador do LogCollector | logcollector-creator |
Crie LogCollector recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| Editor do LogCollector | logcollector-editor |
Edite ou modifique recursos personalizados LogCollector no cluster de administrador raiz. |
ClusterRole |
| Visualizador LogCollector | logcollector-viewer |
Ver LogCollectorrecursos personalizados no cluster de administrador raiz. |
ClusterRole |
| LoggingRule Creator | loggingrule-creator |
Crie LoggingRule recursos personalizados no cluster de administrador raiz. |
ClusterRole |
| LoggingRule Editor | loggingrule-editor |
Edite ou modifique recursos personalizados LoggingRule no cluster de administrador raiz. |
ClusterRole |
| LoggingRule Viewer | loggingrule-viewer |
Ver LoggingRulerecursos personalizados no cluster de administrador raiz. |
ClusterRole |
Autorizações da IAM para o administrador da plataforma (PA) e o operador da aplicação
A IAM no dispositivo isolado do GDC oferece os seguintes dois tipos de funções de PA/AO predefinidos, consoante o nível de acesso de que precisa:
ClusterRole: conceder a um sujeito autorizações ao nível da organização. As funções ao nível da organização permitem implementar recursos personalizados em todos os espaços de nomes de projetos do servidor da API Management e ativar serviços em todos os projetos de toda a sua organização.Role: conceda a um assunto autorizações ao nível do projeto propagando funções aos namespaces do Kubernetes. As funções ao nível do projeto permitem-lhe implementar recursos personalizados no espaço de nomes do projeto do servidor da API Management e ativar serviços apenas no espaço de nomes do projeto.
Se não conseguir aceder ou usar um serviço de monitorização ou registo, contacte o seu administrador para que lhe conceda as funções necessárias. Peça as autorizações adequadas ao administrador de IAM do projeto para um determinado projeto. Se precisar de autorizações ao nível da organização, peça-as ao administrador do IAM da organização.
Esta página descreve todas as funções e as respetivas autorizações para usar os serviços de monitorização e registo.
Funções predefinidas ao nível do projeto
Peça as autorizações adequadas ao administrador de IAM do projeto para usar os serviços de registo e monitorização num projeto. Todas as funções têm de ser vinculadas ao espaço de nomes do projeto onde está a usar o serviço.
Para conceder autorizações ou receber acesso a funções aos recursos ao nível do projeto, consulte o artigo Conceda acesso aos recursos do projeto.
Monitorizar recursos
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para recursos de monitorização:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| ConfigMap Creator | configmap-creator |
Crie objetos ConfigMap no espaço de nomes do projeto. |
Role |
| Editor de painéis de controlo | dashboard-editor |
Editar ou modificar recursos personalizados Dashboard no espaço de nomes do projeto. |
Role |
| Visualizador do painel de controlo | dashboard-viewer |
Veja Dashboard recursos personalizados no espaço de nomes do projeto. |
Role |
| Editor de regras de monitorização | monitoringrule-editor |
Editar ou modificar recursos personalizados MonitoringRule no espaço de nomes do projeto. |
Role |
| MonitoringRule Viewer | monitoringrule-viewer |
Veja MonitoringRule recursos personalizados no espaço de nomes do projeto. |
Role |
| MonitoringTarget Editor | monitoringtarget-editor |
Editar ou modificar recursos personalizados MonitoringTarget no espaço de nomes do projeto. |
Role |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Veja MonitoringTarget recursos personalizados no espaço de nomes do projeto. |
Role |
| Editor ObservabilityPipeline | observabilitypipeline-editor |
Editar ou modificar recursos personalizados ObservabilityPipeline no espaço de nomes do projeto. |
Role |
| Visualizador da ObservabilityPipeline | observabilitypipeline-viewer |
Veja ObservabilityPipeline recursos personalizados no espaço de nomes do projeto. |
Role |
| Editor do Alertmanager do Project Cortex | project-cortex-alertmanager-editor |
Edite a instância do Cortex Alertmanager no espaço de nomes do projeto. | Role |
| Visualizador do Alertmanager do Project Cortex | project-cortex-alertmanager-viewer |
Aceda à instância do Cortex Alertmanager no espaço de nomes do projeto. | Role |
| Visualizador do Prometheus do Project Cortex | project-cortex-prometheus-viewer |
Aceda à instância do Cortex Prometheus no espaço de nomes do projeto. | Role |
| Visualizador do Grafana do projeto | project-grafana-viewer |
Visualize dados de observabilidade relacionados com o projeto em painéis de controlo da instância de monitorização do Grafana. | Role |
Recursos de registo
A tabela seguinte fornece detalhes sobre as autorizações atribuídas a cada função predefinida para registar recursos:
| Nome da função | Nome do recurso do Kubernetes | Descrição da autorização | Tipo |
|---|---|---|---|
| Audit Logs Platform Restore Bucket Creator | audit-logs-platform-restore-bucket-creator |
Crie contentores de cópia de segurança para restaurar os registos de auditoria da plataforma. | Role |
| Visualizador de contentor da plataforma de registos de auditoria | audit-logs-platform-bucket-viewer |
Veja contentores de cópias de segurança de registos de auditoria da plataforma. | Role |
| LoggingRule Creator | loggingrule-creator |
Crie recursos personalizados LoggingRule no espaço de nomes do projeto. |
Role |
| LoggingRule Editor | loggingrule-editor |
Editar ou modificar recursos personalizados LoggingRule no espaço de nomes do projeto. |
Role |
| LoggingRule Viewer | loggingrule-viewer |
Veja LoggingRule recursos personalizados no espaço de nomes do projeto. |
Role |
| LoggingTarget Creator | loggingtarget-creator |
Crie recursos personalizados LoggingTarget no espaço de nomes do projeto. |
Role |
| LoggingTarget Editor | loggingtarget-editor |
Editar ou modificar recursos personalizados LoggingTarget no espaço de nomes do projeto. |
Role |
| LoggingTarget Viewer | loggingtarget-viewer |
Veja LoggingTarget recursos personalizados no espaço de nomes do projeto. |
Role |