Mengontrol akses dengan IAM

Halaman ini menjelaskan cara menggunakan peran dan izin Identity and Access Management (IAM) untuk mengontrol akses ke data Pelaporan Error di resource Google Cloud.

Ringkasan

Izin dan peran IAM menentukan kemampuan Anda untuk mengakses data melalui Error Reporting API dan konsol Google Cloud.

Untuk menggunakan Pelaporan Error dalam resource Google Cloud, seperti project, folder, atau organisasi Google Cloud, Anda harus diberi peran IAM di resource tersebut. Peran ini harus berisi izin yang sesuai.

Peran adalah kumpulan izin. Anda tidak dapat memberikan izin akun utama secara langsung; sebagai gantinya, Anda dapat memberikan peran kepada mereka. Jika Anda memberikan peran ke akun utama, maka semua izin yang terdapat pada peran tersebut juga ikut diberikan. Anda dapat memberikan beberapa peran ke akun utama yang sama.

Peran yang telah ditetapkan

IAM menyediakan peran yang telah ditetapkan untuk memberikan akses terperinci ke resource Google Cloud tertentu. Google Cloud membuat dan mengelola peran ini serta otomatis memperbarui izinnya jika diperlukan, seperti saat Pelaporan Error menambahkan fitur baru.

Tabel berikut mencantumkan peran Pelaporan Error, judul peran, deskripsinya, izin yang dimuat, dan jenis resource level terendah tempat peran dapat ditetapkan. Peran tertentu dapat diberikan pada jenis resource ini atau, dalam sebagian besar kasus, jenis apa pun di atasnya dalam hierarki Google Cloud.

Untuk mendapatkan daftar setiap izin yang terdapat dalam peran, lihat Mendapatkan metadata peran.

Role Permissions

(roles/errorreporting.admin)

Provides full access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.*

  • errorreporting.applications.list
  • errorreporting.errorEvents.create
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update
  • errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Provides the permissions to read and write Error Reporting data, except for sending new error events.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Provides read-only access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Provides the permissions to send error events to Error Reporting.

Lowest-level resources where you can grant this role:

  • Service Account

errorreporting.errorEvents.create

Izin API

Metode Error Reporting API memerlukan izin IAM tertentu. Tabel berikut mencantumkan dan menjelaskan izin yang diperlukan oleh metode API.

Metode Izin yang diperlukan Deskripsi
deleteEvents errorreporting.errorEvents.delete Menghapus peristiwa error.
events.list errorreporting.errorEvents.list Mencantumkan peristiwa error.
events.report errorreporting.errorEvents.create Membuat atau memperbarui peristiwa error.
groupStats.list errorreporting.groups.list Mencantumkan ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Mengambil informasi grup error.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Memperbarui dan membisukan informasi grup error.
    Mengubah status penyelesaian error.
  • Mencantumkan layanan dan versi untuk project.
  • Pertimbangan lebih lanjut

    Saat memutuskan izin dan peran mana yang berlaku untuk kasus penggunaan akun utama, pertimbangkan ringkasan aktivitas Pelaporan Error dan izin yang diperlukan berikut:

    Aktivitas Izin yang diperlukan
    Memiliki akses hanya baca ke halaman Konsol Google Cloud Error Reporting. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Lihat detail grup di konsol Google Cloud. Izin untuk akses hanya baca plus:
    errorreporting.errorEvents.list
    Mengubah metadata di konsol Google Cloud. Mengubah status penyelesaian error, termasuk error bisukan. Izin untuk akses hanya baca plus:
    errorreporting.groupMetadata.update
    Menghapus error di konsol Google Cloud. Izin untuk akses hanya baca plus:
    errorreporting.errorEvents.delete
    Membuat error (tidak memerlukan izin konsol Google Cloud). errorreporting.errorEvents.create
    Berlangganan notifikasi. Izin untuk akses hanya baca plus:
    cloudnotifications.activities.list

    Memberikan dan mengelola peran

    Anda dapat memberikan dan mengelola peran IAM menggunakan konsol Google Cloud, metode IAM API, atau Google Cloud CLI. Untuk mengetahui petunjuk tentang cara memberikan dan mengelola peran, lihat Memberikan, mengubah, dan mencabut akses.

    Anda dapat memberikan beberapa peran kepada pengguna yang sama. Untuk mendapatkan daftar izin yang terdapat dalam peran, lihat Mendapatkan metadata peran.

    Jika Anda mencoba mengakses resource Google Cloud dan tidak memiliki izin yang diperlukan, hubungi pengguna yang tercantum sebagai Pemilik untuk resource tersebut.

    Peran khusus

    Untuk membuat peran kustom dengan izin Error Reporting, pilih izin dari API permissions, lalu ikuti petunjuk untuk membuat peran kustom.

    Latensi perubahan peran

    Pelaporan Error meng-cache izin IAM selama 5 menit, sehingga perlu waktu hingga 5 menit agar perubahan peran diterapkan.