Zugriffssteuerung mit IAM

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite wird beschrieben, wie Sie IAM-Rollen und -Berechtigungen (Identity and Access Management) verwenden, um den Zugriff auf Error Reporting-Daten in Google Cloud-Ressourcen zu steuern.

Übersicht

IAM-Berechtigungen und -Rollen bestimmen die Fähigkeit, über die Error Reporting API und die Google Cloud Console auf Daten zuzugreifen.

Wenn Sie Error Reporting in einer Google Cloud-Ressource wie einem Google Cloud-Projekt, -Ordner oder -Organisation verwenden möchten, müssen Sie für diese Ressource eine IAM-Rolle erhalten. Diese Rolle muss die entsprechenden Berechtigungen enthalten.

Eine Rolle ist eine Sammlung von Berechtigungen. Sie können einem Hauptkonto Berechtigungen nicht direkt erteilen. Stattdessen weisen Sie ihm eine Rolle zu. Wenn Sie einem Hauptkonto eine Rolle zuweisen, erhält er alle mit ihr verknüpften Berechtigungen. Einem Hauptkonto können mehrere Rollen zugewiesen werden.

Vordefinierte Rollen

IAM bietet vordefinierte Rollen, um detaillierten Zugriff auf bestimmte Google Cloud-Ressourcen zu gewähren. Google Cloud erstellt und verwaltet diese Rollen und aktualisiert ihre Berechtigungen bei Bedarf automatisch, z. B. wenn Error Reporting neue Features hinzufügt.

In der folgenden Tabelle sind die Error Reporting-Rollen, die Titel der Rollen, ihre Beschreibungen, die enthaltenen Berechtigungen und der Ressourcentyp der untersten Ebene aufgeführt, für den die Rollen festgelegt werden können. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Hierarchie zugewiesen werden.

Eine Liste aller einzelnen Berechtigungen, die in einer Rolle enthalten sind, finden Sie unter Rollenmetadaten abrufen.

Rolle Berechtigungen

(roles/errorreporting.admin)

Uneingeschränkter Zugriff auf Error Reporting-Daten

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt

cloudnotifications.activities.list

errorreporting.*

  • errorreporting.applications.list
  • errorreporting.errorEvents.create
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update
  • errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Berechtigung zum Lesen und Schreiben von Error Reporting-Daten, mit Ausnahme des Versendens neuer Fehlerereignisse

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Lesezugriff auf Error Reporting-Daten

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Berechtigung zum Senden von Fehlerereignissen an Error Reporting

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dienstkonto

errorreporting.errorEvents.create

API-Berechtigungen

Für Methoden der Error Reporting API sind bestimmte IAM-Berechtigungen erforderlich. In der folgenden Tabelle werden die Berechtigungen beschrieben, die für die API-Methoden erforderlich sind.

Methode Erforderliche Berechtigungen Beschreibung
deleteEvents errorreporting.errorEvents.delete Fehlerereignisse löschen
events.list errorreporting.errorEvents.list Fehlerereignisse auflisten
events.report errorreporting.errorEvents.create Fehlerereignisse erstellen oder aktualisieren
groupStats.list errorreporting.groups.list ErrorGroupStats auflisten
groups.get errorreporting.groupMetadata.get Informationen zu Fehlergruppen abrufen
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Fehlergruppeninformationen aktualisieren und ausblenden
    Fehlerlösungsstatus ändern
  • Dienste und Versionen für ein Projekt auflisten
  • Weitere Gesichtspunkte

    Sehen Sie sich bei der Entscheidung, welche Berechtigungen und Rollen für die Anwendungsfälle eines Hauptkontos gelten, die folgende Zusammenfassung der Error Reporting-Aktivitäten und erforderlichen Berechtigungen an:

    Aktivitäten Erforderliche Berechtigungen
    Lesezugriff auf die Google Cloud Console-Seite von Error Reporting haben. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Gruppendetails finden Sie in der Google Cloud Console. Berechtigungen für den Lesezugriff sowie:
    errorreporting.errorEvents.list
    Metadaten in der Google Cloud Console ändern Fehlerbehebungsstatus ändern, einschließlich ausgeblendeter Fehler Berechtigungen für den Lesezugriff sowie:
    errorreporting.groupMetadata.update
    Fehler in der Google Cloud Console löschen Berechtigungen für den Lesezugriff sowie:
    errorreporting.errorEvents.delete
    Erstellen Sie Fehler (keine Berechtigungen für die Google Cloud Console erforderlich). errorreporting.errorEvents.create
    Benachrichtigungen abonnieren Berechtigungen für den Lesezugriff sowie:
    cloudnotifications.activities.list

    Rollen gewähren und verwalten

    Sie können IAM-Rollen mit der Google Cloud Console, den IAM API-Methoden oder der Google Cloud CLI gewähren und verwalten. Eine Anleitung zum Gewähren und Verwalten von Rollen finden Sie unter Zugriff gewähren, ändern und widerrufen.

    Einem Nutzer können mehrere Rollen zugewiesen werden. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

    Wenn Sie versuchen, auf eine Google Cloud-Ressource zuzugreifen und nicht die erforderlichen Berechtigungen haben, wenden Sie sich an den Nutzer, der als Inhaber der Ressource aufgeführt ist.

    Benutzerdefinierte Rollen

    Wählen Sie zum Erstellen einer benutzerdefinierten Rolle mit Error Reporting-Berechtigungen Berechtigungen aus API-Berechtigungen aus und folgen Sie dann der Anleitung zum Erstellen einer benutzerdefinierten Rolle.

    Latenz der Rollenänderung

    Da IAM-Berechtigungen in Error Reporting 5 Minuten lang im Cache gespeichert werden, dauert es bis zu 5 Minuten, bis eine Rollenänderung wirksam wird.