Mengontrol akses dengan IAM

Halaman ini menjelaskan cara Anda menggunakan peran dan izin Identity and Access Management (IAM) untuk mengontrol akses ke data Error Reporting di resource Google Cloud.

Ringkasan

Izin dan peran IAM menentukan kemampuan Anda untuk mengakses data melalui Error Reporting API dan Konsol Google Cloud.

Untuk menggunakan Error Reporting dalam resource Google Cloud, seperti project, folder, atau organisasi Google Cloud, Anda harus diberi peran IAM pada resource tersebut. Peran ini harus berisi izin yang sesuai.

Peran adalah kumpulan izin. Anda tidak dapat memberikan izin utama secara langsung. Sebagai gantinya, Anda memberinya peran. Saat memberikan peran kepada akun utama, Anda memberi mereka semua izin yang dimiliki peran tersebut. Anda dapat memberikan beberapa peran ke akun utama yang sama.

Peran yang telah ditetapkan

IAM menyediakan peran bawaan untuk memberikan akses terperinci ke resource Google Cloud tertentu. Google Cloud membuat dan mengelola peran-peran tersebut serta otomatis memperbarui izinnya sesuai keperluan, misalnya saat Error Reporting menambahkan fitur baru.

Tabel berikut mencantumkan peran Error Reporting, judul peran, deskripsinya, izin yang terdapat, dan jenis resource level terendah tempat peran dapat ditetapkan. Peran tertentu dapat diberikan pada jenis resource ini, atau dalam sebagian besar kasus, jenis apa pun di atasnya dalam hierarki Google Cloud.

Untuk mengetahui daftar setiap izin yang terdapat dalam peran, lihat Mendapatkan metadata peran.

Role Permissions

(roles/errorreporting.admin)

Provides full access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.*

  • errorreporting.applications.list
  • errorreporting.errorEvents.create
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update
  • errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Provides the permissions to read and write Error Reporting data, except for sending new error events.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Provides read-only access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Provides the permissions to send error events to Error Reporting.

Lowest-level resources where you can grant this role:

  • Service Account

errorreporting.errorEvents.create

Izin API

Metode Error Reporting API memerlukan izin IAM tertentu. Tabel berikut mencantumkan dan menjelaskan izin yang diperlukan oleh metode API.

Metode Izin yang diperlukan Deskripsi
deleteEvents errorreporting.errorEvents.delete Menghapus peristiwa error.
events.list errorreporting.errorEvents.list Membuat daftar peristiwa error.
events.report errorreporting.errorEvents.create Membuat atau memperbarui peristiwa error.
groupStats.list errorreporting.groups.list Daftar ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Mengambil informasi grup error.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Memperbarui dan menonaktifkan informasi grup error.
    Ubah status penyelesaian error.
  • Mencantumkan layanan dan versi untuk sebuah project.
  • Pertimbangan lebih lanjut

    Saat menentukan izin dan peran yang berlaku untuk kasus penggunaan akun utama, pertimbangkan ringkasan aktivitas Error Reporting dan izin yang diperlukan berikut:

    Aktivitas Izin yang diperlukan
    Memiliki akses hanya baca ke halaman konsol Google Cloud Error Reporting. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Lihat detail grup di Konsol Google Cloud. Izin untuk akses hanya baca, dan:
    errorreporting.errorEvents.list
    Mengubah metadata di konsol Google Cloud. Mengubah status penyelesaian error, termasuk menonaktifkan error. Izin untuk akses hanya baca, dan:
    errorreporting.groupMetadata.update
    Hapus error di konsol Google Cloud. Izin untuk akses hanya baca, dan:
    errorreporting.errorEvents.delete
    Membuat error (tidak diperlukan izin Konsol Google Cloud). errorreporting.errorEvents.create
    Berlangganan notifikasi. Izin untuk akses hanya baca, dan:
    cloudnotifications.activities.list

    Memberikan dan mengelola peran

    Anda dapat memberikan dan mengelola peran IAM menggunakan Google Cloud Console, metode IAM API, atau Google Cloud CLI. Untuk mengetahui petunjuk tentang cara memberikan dan mengelola peran, lihat Memberikan, mengubah, dan mencabut akses.

    Anda dapat memberikan beberapa peran kepada pengguna yang sama. Untuk mendapatkan daftar izin yang terdapat dalam peran, lihat Mendapatkan metadata peran.

    Jika Anda mencoba mengakses resource Google Cloud tetapi tidak memiliki izin yang diperlukan, hubungi pengguna yang tercantum sebagai Pemilik untuk resource tersebut.

    Peran khusus

    Untuk membuat peran khusus dengan izin Error Reporting, pilih izin dari izin API, lalu ikuti petunjuk untuk membuat peran kustom.

    Latensi perubahan peran

    Error Reporting menyimpan izin IAM dalam cache selama 5 menit, sehingga perlu waktu hingga 5 menit sampai perubahan peran diterapkan.