Controlar o acesso com o IAM

Esta página descreve como usar papéis e permissões do gerenciamento de identidade e acesso (IAM) para controlar o acesso a dados do Error Reporting nos recursos do Google Cloud.

Visão geral

As permissões e os papéis do IAM determinam sua capacidade de acessar dados pela API Error Reporting e pelo console do Google Cloud.

Para usar o Error Reporting em um recurso do Google Cloud, como um projeto, uma pasta ou uma organização do Google Cloud, você precisa receber um papel do IAM nesse recurso. Esse papel precisa conter as permissões apropriadas.

Um papel é um conjunto de permissões. Não é possível conceder uma permissão principal diretamente. em vez disso, você concede a eles um papel. Quando você faz isso, concede ao principal todas as permissões contidas no papel. É possível atribuir vários papéis ao mesmo usuário.

Papéis predefinidos

O IAM fornece papéis predefinidos para dar acesso granular a recursos específicos do Google Cloud. O Google Cloud cria e mantém esses papéis e atualiza automaticamente as permissões conforme necessário, por exemplo, quando o Error Reporting adiciona novos recursos.

A tabela a seguir lista os papéis do Error Reporting, os títulos dos papéis, as descrições deles, as permissões contidas e o tipo de recurso de menor nível em que os papéis podem ser definidos. Um papel específico pode ser concedido a esse tipo de recurso ou, na maioria dos casos, a qualquer tipo acima dele na hierarquia do Google Cloud.

Para ver uma lista de cada permissão individual contida em um papel, consulte Como obter os metadados do papel.

Role Permissions

(roles/errorreporting.admin)

Provides full access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.*

  • errorreporting.applications.list
  • errorreporting.errorEvents.create
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update
  • errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Provides the permissions to read and write Error Reporting data, except for sending new error events.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Provides read-only access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Provides the permissions to send error events to Error Reporting.

Lowest-level resources where you can grant this role:

  • Service Account

errorreporting.errorEvents.create

Permissões da API

Os métodos da API Error Reporting exigem permissões do IAM específicas. A tabela a seguir lista e descreve as permissões exigidas pelos métodos da API.

Método Permissões necessárias Descrição
deleteEvents errorreporting.errorEvents.delete Exclui eventos de erro.
events.list errorreporting.errorEvents.list Lista eventos de erro.
events.report errorreporting.errorEvents.create Cria ou atualiza eventos de erro.
groupStats.list errorreporting.groups.list Lista ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Recupera informações do grupo de erro.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Atualizar e silenciar informações do grupo de erros.
    Mudar o status da resolução de erros.
  • Lista serviços e versões de um projeto.
  • Considerações adicionais

    Ao decidir quais permissões e papéis se aplicam aos casos de uso de um principal, considere o seguinte resumo de atividades do Error Reporting e permissões necessárias:

    Atividades Permissões necessárias
    Ter acesso somente leitura à página do console do Google Cloud do Error Reporting. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Confira os detalhes do grupo no console do Google Cloud. Permissões para acesso somente leitura mais:
    errorreporting.errorEvents.list
    Mude os metadados no console do Google Cloud. Alterar o status de resolução do erro, incluindo silenciar erros. Permissões para acesso somente leitura mais:
    errorreporting.groupMetadata.update
    Exclua erros no console do Google Cloud. Permissões para acesso somente leitura mais:
    errorreporting.errorEvents.delete
    Criar erros (permissões do console do Google Cloud não são necessárias). errorreporting.errorEvents.create
    Inscrever-se para receber notificações Permissões para acesso somente leitura mais:
    cloudnotifications.activities.list

    Conceder e gerenciar papéis

    É possível conceder e gerenciar papéis do IAM usando o Console do Google Cloud, os métodos da API IAM ou a Google Cloud CLI. Para instruções sobre como conceder e gerenciar papéis, consulte Como conceder, alterar e revogar acesso.

    É possível atribuir vários papéis ao mesmo usuário. Para ver uma lista das permissões contidas em um papel, consulte Como receber os metadados do papel.

    Se você está tentando acessar um recurso do Google Cloud e não tem as permissões necessárias, entre em contato com o usuário listado como o Proprietário do recurso.

    Papéis personalizados

    Para criar um papel personalizado com permissões do Error Reporting, escolha as permissões de permissões da API e siga as instruções para criar um papel personalizado.

    Latência na mudança de papel

    O Error Reporting armazena as permissões de IAM em cache por cinco minutos. Sendo assim, um papel leva esse tempo para entrar em vigor.