Anleitung zur Zugriffssteuerung

Auf dieser Seite wird beschrieben, wie Sie mit Rollen und Berechtigungen der Identity and Access Management (IAM) den Zugriff auf Error Reporting-Daten in Google Cloud-Ressourcen steuern.

Übersicht

IAM-Berechtigungen und Rollen bestimmen, ob Sie über die Error Reporting API und die Cloud Console auf Daten zugreifen können.

Sie benötigen eine IAM-Rolle für diese Ressource, um Error Reporting in einer Google Cloud-Ressource wie einem Google Cloud-Projekt, einem Ordner oder einer Organisation verwenden zu können. Diese Rolle muss die entsprechenden Berechtigungen enthalten.

Eine Rolle ist eine Sammlung von Berechtigungen. Sie können einem Mitglied keine Berechtigungen direkt erteilen; Stattdessen weisen Sie ihnen eine Rolle zu. Wenn Sie einem Mitglied eine Rolle zuweisen, erhält er alle mit ihr verknüpften Berechtigungen. Sie können einem Mitglied mehrere Rollen zuweisen.

Vordefinierte Rollen

IAM bietet vordefinierte Rollen, um detaillierten Zugriff auf bestimmte Google Cloud-Ressourcen zu gewähren. Google Cloud erstellt und verwaltet diese Rollen und aktualisiert die Berechtigungen nach Bedarf automatisch, beispielsweise wenn Error Reporting neue Features hinzufügt.

Die folgende Tabelle enthält die Error Reporting-Rollen, die Titel der Rollen, ihre Beschreibungen, die Berechtigungen und den Ressourcentyp der untersten Ebene, für den Rollen festgelegt werden. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Hierarchie zugewiesen werden.

Eine Liste der einzelnen Berechtigungen, die in einer Rolle enthalten sind, finden Sie unter Rollenmetadaten abrufen.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/errorreporting.admin Error Reporting-AdministratorBeta Bietet uneingeschränkten Zugriff auf Error Reporting-Daten.
  • cloudnotifications.*
  • errorreporting.*
  • logging.notificationRules.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get
Projekt
roles/errorreporting.user Error Reporting-NutzerBeta Bietet die Berechtigung zum Lesen und Schreiben von Error Reporting-Daten, mit Ausnahme des Versandes neuer Fehlerereignisse.
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.*
  • errorreporting.groups.*
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get
Projekt
roles/errorreporting.viewer Error Reporting-BetrachterBeta Bietet Lesezugriff auf Error Reporting-Daten.
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groups.*
  • logging.notificationRules.get
  • logging.notificationRules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get
Projekt
roles/errorreporting.writer Error Reporting-AutorBeta Berechtigung zum Senden von Fehlerereignissen an Error Reporting
  • errorreporting.errorEvents.create
Dienstkonto

API-Berechtigungen

Die Error Reporting API-Methoden erfordern bestimmte IAM-Berechtigungen. In der folgenden Tabelle sind die für die API-Methoden erforderlichen Berechtigungen aufgeführt und beschrieben.

Methode Erforderliche Berechtigungen Beschreibung
deleteEvents errorreporting.errorEvents.delete Fehlerereignisse löschen
events.list errorreporting.errorEvents.list Fehlerereignisse auflisten
events.report errorreporting.errorEvents.create Fehlerereignisse erstellen oder aktualisieren
groupStats.list errorreporting.groups.list ErrorGroupStats auflisten
groups.get errorreporting.groupMetadata.get Informationen zu Fehlergruppen abrufen
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Fehlergruppeninformationen aktualisieren und ausblenden
    Fehlerlösungsstatus ändern
  • Dienste und Versionen für ein Projekt auflisten
  • Weitere Hinweise

    Bei der Entscheidung, welche Berechtigungen und Rollen für die Anwendungsfälle Ihrer Ressourcenmitglieder gelten, sollten Sie die folgende Zusammenfassung der Error Reporting-Aktivitäten und die erforderlichen Berechtigungen ansehen:

    Aktivitäten Erforderliche Berechtigungen
    Lesezugriff auf die Cloud Console-Seite von Error Reporting haben. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    In der Cloud Console können Sie die Gruppendetails ansehen. Berechtigungen für Lesezugriff:
    errorreporting.errorEvents.list
    Metadaten in der Cloud Console ändern Fehlerbehebungsstatus ändern, einschließlich ausgeblendeter Fehler Berechtigungen für Lesezugriff:
    errorreporting.groupMetadata.update
    Fehler in der Cloud Console löschen Berechtigungen für Lesezugriff:
    errorreporting.errorEvents.delete
    Fehler erstellen (keine Cloud Console-Berechtigungen erforderlich) errorreporting.errorEvents.create
    Benachrichtigungen abonnieren Berechtigungen für Lesezugriff:
    cloudnotifications.activities.list

    Rollen zuweisen und verwalten

    Sie können IAM-Rollen mithilfe der Cloud Console, der IAM API-Methoden oder des gcloud-Befehlszeilentools gewähren und verwalten. Anleitungen zum Gewähren und Verwalten von Rollen finden Sie unter Zugriff gewähren, ändern und widerrufen.

    Einem Nutzer können mehrere Rollen zugewiesen werden. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

    Wenn Sie versuchen, auf eine Google Cloud-Ressource zuzugreifen und nicht die erforderlichen Berechtigungen haben, wenden Sie sich an das Mitglied, das als Inhaber der Ressource aufgeführt ist.

    Benutzerdefinierte Rollen

    Wählen Sie zum Erstellen einer benutzerdefinierten Rolle mit Error Reporting-Berechtigungen die Berechtigungen unter API-Berechtigungen aus und folgen Sie der Anleitung zum Erstellen einer benutzerdefinierten Rolle.

    Latenz der Rollenänderung

    Da IAM-Berechtigungen in Error Reporting 5 Minuten lang im Cache gespeichert werden, dauert es bis zu 5 Minuten, bis eine Rollenänderung wirksam wird.