Ограничить учетную запись службы IAM определенным журналом Google Stackdriver

Question

Я планирую иметь несколько экземпляров своего приложения в GKE и думаю об использовании Google Stackdriver для ведения журнала аудита.Однако из того, что я вижу в документах Access Control (https://cloud.google.com/logging/docs/access-control)), роль logWriter применяется ко всему проекту. Я, очевидно, хочу лишь разрешить каждому экземпляру иметь возможность записи в свой собственный журнал. Возможно ли это?

Я планирую отправлять журналы из Stackdriver в BigQuery. Возможна отправка напрямую в BigQuery, но не представляется возможным ограничить учетные записи только для вставки. Другой - отдельный проект для приложения (пространство имен GKE)) - но это кажется слишком сложным и не рекомендуется делать что-то.

Спасибо!

Answer 1

Для каждого экземпляра в кластере GCE / GKE у вас есть возможность включить или отключить возможности ведения журнала.Для отдельных экземпляров GCE вы можете отключить доступ к API или использовать учетную запись службы с ролью «logwriter» только при создании экземпляра [1].

Для GKE вы можете включить / отключить доступ кAPI регистрации Stackdriver все вместе и переходят к экземплярам пула узлов.Это работает просто потому, что модуль 'fluentd' будет отправлять журналы в API стекового драйвера, используя учетную запись службы узла.

Что касается отправки журналов из Stackdriver в Bigquery, вы принимаете около Sink [2],Раковина создаст новую учетную запись службы, которая называется уникальным идентификатором писателя, и ваше место назначения экспорта (BigQuery) должно разрешить этой учетной записи службы записывать записи журнала, как описано в [3]

[1] https://cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances?hl=en_US&_ga=2.210364631.-390700867.1538154355[2] https://cloud.google.com/logging/docs/export/configure_export_v2 [3] https://cloud.google.com/logging/docs/export/configure_export_v2#dest-auth