Google Cloud Platform(GCP)には Identity and Access Management(IAM)機能があり、特定の GCP リソースに対するアクセス権を詳細に設定でき、他のリソースへの不要なアクセスを防止できます。このページでは Stackdriver Debugger の IAM 役割について説明します。Cloud IAM の詳細については、IAM のマニュアルを参照してください。
役割の付与
メンバー(Google アカウントやサービス アカウントなど)に IAM 役割を付与する方法については、IAM のドキュメントのプロジェクト メンバーに対するアクセス権の付与、変更、取り消しをご覧ください。
Debugger には次の IAM 役割が適用されます。
必要な権限
Cloud IAM で GCP のメソッドを呼び出すには、API リクエストを実行するアカウントに、そのリソースにアクセスするための適切な権限が付与されていなければなりません。権限により、Cloud リソースに対して特定のアクションを行うことがメンバーに許可されます。
以下の表に、Debugger のメソッドを呼び出すために必要な権限の一覧を示します。
| メソッド | 必要な権限 | リソースタイプ |
|---|---|---|
REST: controller.debuggees.registerRPC: RegisterDebuggeeRequest
|
clouddebugger.debuggees.create |
プロジェクト |
REST: controller.debuggees.breakpoints.listRPC: ListBreakpointsRequest
|
clouddebugger.breakpoints.list |
プロジェクト |
REST: controller.debuggees.breakpoints.updateRPC: UpdateActiveBreakpointRequest
|
clouddebugger.breakpoints.update |
プロジェクト |
REST: debugger.debuggees.listRPC: ListDebuggeesRequest
|
clouddebugger.debuggees.list |
プロジェクト |
REST: debugger.debuggees.breakpoints.delete
|
clouddebugger.breakpoints.delete |
プロジェクト |
REST: debugger.debuggees.breakpoints.getRPC: GetBreakpointRequest
|
clouddebugger.breakpoints.get |
プロジェクト |
REST: debugger.debuggees.breakpoints.listRPC: ListBreakpointsRequest
|
clouddebugger.breakpoints.list |
プロジェクト |
REST: debugger.debuggees.breakpoints.setRPC: SetBreakpointRequest
|
clouddebugger.breakpoints.create |
プロジェクト |
Debugger の IAM 役割
メンバーには権限を直接付与するのではなく、ある GCP リソースに対する 1 つ以上の役割を付与します。役割には、1 つ以上の権限が組み込まれています。
オーナー、編集者、閲覧者といった基本の役割に加え、以下の Stackdriver Debugger の IAM 役割を付与できます。
| 役割 | 目的 | バンドルされている権限 |
|---|---|---|
デバッガ エージェントroles/clouddebugger.agent
| デバッグ ターゲットの登録、アクティブなブレークポイントの読み取り、ブレークポイントの結果の報告を行うことができます。この役割は通常、デバッガ エージェントで実行中のサービス アカウントに割り当てられます。 |
|
デバッガ ユーザーroles/clouddebugger.user
|
ブレークポイント(スナップショットとログポイント)の作成、表示、一覧表示、削除に加え、デバッグ ターゲット(デバッグ対象)の一覧表示を行うことができます。 |
|
