Identitäts- und Zugriffsverwaltung (Identity and Access Management – IAM)

Mit dem IAM der Google Cloud Platform können Sie den Zugriff auf bestimmte Google Cloud Platform-Ressourcen noch genauer steuern. Außerdem wird der unerwünschte Zugriff auf andere Ressourcen verhindert. Auf dieser Seite werden die IAM-Rollen für Stackdriver Error Reporting beschrieben. Eine genaue Beschreibung von Cloud IAM finden Sie in der IAM-Dokumentation.

Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

In IAM können Sie steuern, wer (Nutzer) welche (Rollen) Berechtigung für welche Ressourcen hat, indem Sie die IAM-Richtlinien festlegen. IAM-Richtlinien gewähren einem Nutzer bestimmte Rollen und dadurch bestimmte Berechtigungen.

Berechtigungen und Rollen

Dieser Abschnitt enthält eine Übersicht der von Error Reporting unterstützten Berechtigungen und Rollen.

Erforderliche Berechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgelistet, die der Aufrufer besitzen muss, um eine bestimmte Methode aufrufen zu können:

Methode Erforderliche Berechtigungen
deleteEvents errorreporting.errorEvents.delete
events.list errorreporting.errorEvents.list
events.report errorreporting.errorEvents.create
groupStats.list errorreporting.groups.list
groups.get errorreporting.groupMetadata.get
groups.update errorreporting.groupMetadata.update

Rollen

Mit IAM ist es für jede API-Methode in Error Reporting erforderlich, dass das Konto, das die API-Anfrage sendet, über die entsprechenden Berechtigungen zur Verwendung der Ressource verfügt. Berechtigungen werden durch die Festlegung von Richtlinien gewährt, die wiederum einem Nutzer, einer Gruppe oder einem Dienstkonto Rollen zuweist. Neben den einfachen Rollen des Projektinhabers, -bearbeiters und betrachters können Sie den Nutzern Ihres Projekts spezielle Error Reporting-Rollen zuweisen.

In der folgenden Tabelle werden die IAM-Rollen für Error Reporting aufgeführt. Sie können einem Nutzer, einer Gruppe oder einem Dienstkonto mehrere Rollen zuweisen.

Rolle Berechtigungen Beschreibung
roles/errorreporting.viewer
Error Reporting-Betrachter
errorreporting.applications.list
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groups.list
Lesezugriff auf alle Error Reporting-Daten.
roles/errorreporting.user
Error Reporting-Nutzer
errorreporting.applications.list
errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groupMetadata.update
errorreporting.groups.list
Lese-/Schreibzugriff auf Error Reporting-Daten, ohne jedoch neue Fehlerereignisse erstellen zu können
roles/errorreporting.writer
Error Reporting-Schreiber
errorreporting.errorEvents.create Kann Fehlerereignisse an Error Reporting senden. Für Dienstkonten gedacht.
roles/errorreporting.admin
Error Reporting-Administrator
errorreporting.applications.list
errorreporting.errorEvents.create errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groupMetadata.update
errorreporting.groups.list
Uneingeschränkter Zugriff auf Error Reporting-Daten.

Benutzerdefinierte Rollen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die Sie Ihrer benutzerdefinierten IAM-Rolle hinzufügen müssen, um Error Reporting-Aktivitäten zuzulassen.

Aktivität Erforderliche Berechtigungen
Minimaler Lesezugriff auf die Error Reporting-Konsolenseite errorreporting.applications.list
errorreporting.groupMetadata.get
errorreporting.groups.list
Gruppendetails in der Konsole anzeigen Mindestberechtigungen plus
errorreporting.errorEvents.list
Metadaten in der Konsole ändern. Fehlerbehebungsstatus ändern. Mindestberechtigungen plus
errorreporting.groupMetadata.update
Fehler in der Konsole löschen Mindestberechtigungen plus
errorreporting.errorEvents.delete
Fehler erstellen (keine Konsolenberechtigungen erforderlich) errorreporting.errorEvents.create
Benachrichtigungen abonnieren Mindestberechtigungen plus
cloudnotifications.activities.list

Wenn Sie bestimmten Methoden zwar in der Error Reporting API, aber nicht in der Konsole Zugriff gewähren möchten, fügen Sie Ihrer benutzerdefinierten Rolle nur die Berechtigungen für die jeweiligen API-Methoden hinzu. Weitere Informationen erhalten Sie im Abschnitt Erforderliche Berechtigungen auf dieser Seite.

Berechtigungen

In der folgenden Tabelle werden die von Error Reporting unterstützten Berechtigungen aufgeführt.

Name der Berechtigung Beschreibung
errorreporting.applications.list Dienste und Versionen für ein Projekt auflisten
errorreporting.errorEvents.create Fehlerereignisse erstellen oder aktualisieren
errorreporting.errorEvents.delete Fehlerereignisse löschen
errorreporting.errorEvents.list Fehlerereignisse auflisten
errorreporting.groups.list ErrorGroupStats auflisten
errorreporting.groupMetadata.get Informationen zu Fehlergruppen abrufen
errorreporting.groupMetadata.update Informationen zu Fehlergruppen aktualisieren, einschließlich des Behebungsstatus

Latenz der Rollenänderung

Da IAM-Berechtigungen in Error Reporting 5 Minuten lang im Cache gespeichert werden, dauert es bis zu 5 Minuten, bis eine Rollenänderung wirksam wird.

IAM-Richtlinien verwalten

Sie können IAM-Richtlinien über die Google Cloud Platform Console, mit den IAM-Methoden der API oder dem gcloud-Befehlszeilentool abrufen und festlegen.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Stackdriver Error Reporting-Dokumentation