Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Cloud デバッガの IAM ロールについて説明します。IAM の詳細については、IAM のドキュメントを参照してください。
役割の付与
プリンシパル(Google アカウントやサービス アカウントなど)に IAM ロールを付与する方法については、IAM のドキュメントのアクセス権の付与、変更、取り消しをご覧ください。
Debugger には次の IAM 役割が適用されます。
必要な権限
IAM で Google Cloud のメソッドを呼び出すには、API リクエストを実行するアカウントに、そのリソースにアクセスするための適切な権限が付与されている必要があります。権限により、Cloud リソースに対して特定のアクションを行うことがプリンシパルに許可されます。
以下の表に、Debugger のメソッドを呼び出すために必要な権限の一覧を示します。
| メソッド | 必要な権限 | リソースタイプ |
|---|---|---|
REST:
controller.debuggees.registerRPC: RegisterDebuggeeRequest
|
clouddebugger.debuggees.create |
プロジェクト |
REST:
controller.debuggees.breakpoints.listRPC: ListBreakpointsRequest
|
clouddebugger.breakpoints.list |
プロジェクト |
REST:
controller.debuggees.breakpoints.updateRPC: UpdateActiveBreakpointRequest
|
clouddebugger.breakpoints.update |
プロジェクト |
REST:
debugger.debuggees.listRPC: ListDebuggeesRequest
|
clouddebugger.debuggees.list |
プロジェクト |
REST:
debugger.debuggees.breakpoints.delete
|
clouddebugger.breakpoints.delete |
プロジェクト |
REST:
debugger.debuggees.breakpoints.getRPC: GetBreakpointRequest
|
clouddebugger.breakpoints.get |
プロジェクト |
REST:
debugger.debuggees.breakpoints.listRPC: ListBreakpointsRequest
|
clouddebugger.breakpoints.list |
プロジェクト |
REST:
debugger.debuggees.breakpoints.setRPC: SetBreakpointRequest
|
clouddebugger.breakpoints.create |
プロジェクト |
Debugger の IAM 役割
プリンシパルには権限を直接付与するのではなく、ある Google Cloud リソースに対する 1 つ以上のロールを付与します。ロールには、1 つ以上の権限が組み込まれています。
オーナー、編集者、閲覧者といった基本の役割に加え、以下の Cloud デバッガの IAM 役割を付与できます。
| 役割 | 目的 | バンドルされている権限 |
|---|---|---|
クラウド デバッガ エージェントroles/clouddebugger.agent
| デバッグ ターゲットの登録、アクティブなブレークポイントの読み取り、ブレークポイントの結果の報告を行うことができます。この役割は通常、Debugger エージェントで実行中のサービス アカウントに割り当てられます。 |
|
クラウド デバッガ ユーザーroles/clouddebugger.user
|
ブレークポイント(スナップショットとログポイント)の作成、表示、一覧表示、削除に加え、デバッグ ターゲット(デバッグ対象)の一覧表示を行うことができます。 |
|