Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Cloud デバッガの IAM ロールについて説明します。IAM の詳細については、IAM のドキュメントを参照してください。
役割の付与
メンバー(Google アカウントやサービス アカウントなど)に IAM 役割を付与する方法については、IAM のドキュメントのプロジェクト メンバーに対するアクセス権の付与、変更、取り消しをご覧ください。
Debugger には次の IAM 役割が適用されます。
必要な権限
IAM で Google Cloud のメソッドを呼び出すには、API リクエストを実行するアカウントに、そのリソースにアクセスするための適切な権限が付与されている必要があります。権限により、Cloud リソースに対して特定のアクションを行うことがメンバーに許可されます。
以下の表に、Debugger のメソッドを呼び出すために必要な権限の一覧を示します。
| メソッド | 必要な権限 | リソースタイプ |
|---|---|---|
REST:
controller.debuggees.registerRPC: RegisterDebuggeeRequest
|
clouddebugger.debuggees.create |
プロジェクト |
REST:
controller.debuggees.breakpoints.listRPC: ListBreakpointsRequest
|
clouddebugger.breakpoints.list |
プロジェクト |
REST:
controller.debuggees.breakpoints.updateRPC: UpdateActiveBreakpointRequest
|
clouddebugger.breakpoints.update |
プロジェクト |
REST:
debugger.debuggees.listRPC: ListDebuggeesRequest
|
clouddebugger.debuggees.list |
プロジェクト |
REST:
debugger.debuggees.breakpoints.delete
|
clouddebugger.breakpoints.delete |
プロジェクト |
REST:
debugger.debuggees.breakpoints.getRPC: GetBreakpointRequest
|
clouddebugger.breakpoints.get |
プロジェクト |
REST:
debugger.debuggees.breakpoints.listRPC: ListBreakpointsRequest
|
clouddebugger.breakpoints.list |
プロジェクト |
REST:
debugger.debuggees.breakpoints.setRPC: SetBreakpointRequest
|
clouddebugger.breakpoints.create |
プロジェクト |
Debugger の IAM 役割
メンバーに直接権限を付与するのではなく、代わりに、1 つ以上の権限が組み込まれた Google Cloud リソースに対する 1 つ以上のロールを付与します。
オーナー、編集者、閲覧者といった基本の役割に加え、以下の Cloud デバッガの IAM 役割を付与できます。
| 役割 | 目的 | バンドルされている権限 |
|---|---|---|
クラウド デバッガ エージェントroles/clouddebugger.agent
| デバッグ ターゲットの登録、アクティブなブレークポイントの読み取り、ブレークポイントの結果の報告を行うことができます。この役割は通常、Debugger エージェントで実行中のサービス アカウントに割り当てられます。 |
|
クラウド デバッガ ユーザーroles/clouddebugger.user
|
ブレークポイント(スナップショットとログポイント)の作成、表示、一覧表示、削除に加え、デバッグ ターゲット(デバッグ対象)の一覧表示を行うことができます。 |
|