アクセス制御

Google Cloud Platform(GCP)には Identity and Access Management(IAM)機能があり、特定の GCP リソースに対するアクセス権を詳細に設定でき、他のリソースへの不要なアクセスを防止できます。このページでは Stackdriver Debugger の IAM 役割について説明します。Cloud IAM の詳細については、IAM のマニュアルを参照してください。

役割の付与

メンバー(Google アカウントやサービス アカウントなど)に IAM 役割を付与する方法については、IAM のドキュメントのプロジェクト メンバーに対するアクセス権の付与、変更、取り消しをご覧ください。

Debugger には次の IAM 役割が適用されます。

必要な権限

Cloud IAM で GCP のメソッドを呼び出すには、API リクエストを実行するアカウントに、そのリソースにアクセスするための適切な権限が付与されていなければなりません。権限により、Cloud リソースに対して特定のアクションを行うことがメンバーに許可されます。

以下の表に、Debugger のメソッドを呼び出すために必要な権限の一覧を示します。

メソッド 必要な権限 リソースタイプ
REST: controller.debuggees.register
RPC: RegisterDebuggeeRequest
clouddebugger.debuggees.create プロジェクト
REST: controller.debuggees.breakpoints.list
RPC: ListBreakpointsRequest
clouddebugger.breakpoints.list プロジェクト
REST: controller.debuggees.breakpoints.update
RPC: UpdateActiveBreakpointRequest
clouddebugger.breakpoints.update プロジェクト
REST: debugger.debuggees.list
RPC: ListDebuggeesRequest
clouddebugger.debuggees.list プロジェクト
REST: debugger.debuggees.breakpoints.delete clouddebugger.breakpoints.delete プロジェクト
REST: debugger.debuggees.breakpoints.get
RPC: GetBreakpointRequest
clouddebugger.breakpoints.get プロジェクト
REST: debugger.debuggees.breakpoints.list
RPC: ListBreakpointsRequest
clouddebugger.breakpoints.list プロジェクト
REST: debugger.debuggees.breakpoints.set
RPC: SetBreakpointRequest
clouddebugger.breakpoints.create プロジェクト

Debugger の IAM 役割

メンバーには権限を直接付与するのではなく、ある GCP リソースに対する 1 つ以上の役割を付与します。役割には、1 つ以上の権限が組み込まれています。

オーナー、編集者、閲覧者といった基本の役割に加え、以下の Stackdriver Debugger の IAM 役割を付与できます。

役割 目的 バンドルされている権限
デバッガ エージェント
roles/clouddebugger.agent
デバッグ ターゲットの登録、アクティブなブレークポイントの読み取り、ブレークポイントの結果の報告を行うことができます。この役割は通常、デバッガ エージェントで実行中のサービス アカウントに割り当てられます。
  • clouddebugger.breakpoints.list: 非アクティブのブレークポイントを含め、デバッグ対象のすべてのブレークポイントのリストを返します。
  • clouddebugger.breakpoints.listActive: デバッグ対象のすべてのアクティブなブレークポイントのリストを返します。
  • clouddebugger.breakpoints.update: ブレークポイントを更新します。
  • clouddebugger.debuggees.create: デバッグ対象を登録します。
デバッガ ユーザー
roles/clouddebugger.user

ブレークポイント(スナップショットとログポイント)の作成、表示、一覧表示、削除に加え、デバッグ ターゲット(デバッグ対象)の一覧表示を行うことができます。

  • clouddebugger.breakpoints.create: ブレークポイントを作成します。
  • clouddebugger.breakpoints.delete: ブレークポイントを削除します。
  • clouddebugger.breakpoints.get: ブレークポイントを読み込みます。
  • clouddebugger.breakpoints.list: ブレークポイントを一覧表示します。
  • clouddebugger.debuggees.list: ユーザーがアクセス可能なデバッグ ターゲット(デバッグ対象)の一覧を表示します。
このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Stackdriver Debugger のドキュメント