Auf dieser Seite wird beschrieben, wie Sie IAM-Rollen und -Berechtigungen (Identity and Access Management) verwenden, um den Zugriff auf Error Reporting-Daten in Google Cloud-Ressourcen zu steuern.
Überblick
IAM-Berechtigungen und IAM-Rollen bestimmen, ob Sie über die Error Reporting API und die Google Cloud Console auf Daten zugreifen können.
Wenn Sie Error Reporting in einer Google Cloud-Ressource wie einem Google Cloud-Projekt, -Ordner oder -Organisation verwenden möchten, müssen Sie für diese Ressource eine IAM-Rolle erhalten. Diese Rolle muss die entsprechenden Berechtigungen enthalten.
Eine Rolle ist eine Sammlung von Berechtigungen. Sie können einem Hauptkonto Berechtigungen nicht direkt erteilen. Stattdessen weisen Sie ihm eine Rolle zu. Wenn Sie einem Hauptkonto eine Rolle zuweisen, erhält er alle mit ihr verknüpften Berechtigungen. Einem Hauptkonto können mehrere Rollen zugewiesen werden.
Vordefinierte Rollen
IAM bietet vordefinierte Rollen, um detaillierten Zugriff auf bestimmte Google Cloud-Ressourcen zu gewähren. Google Cloud erstellt und verwaltet diese Rollen und aktualisiert ihre Berechtigungen bei Bedarf automatisch, z. B. wenn Error Reporting neue Features hinzufügt.
In der folgenden Tabelle sind die Error Reporting-Rollen, die Titel der Rollen, ihre Beschreibungen, die enthaltenen Berechtigungen und der Ressourcentyp der untersten Ebene aufgeführt, für den die Rollen festgelegt werden können. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Hierarchie zugewiesen werden.
Eine Liste aller einzelnen Berechtigungen, die in einer Rolle enthalten sind, finden Sie unter Rollenmetadaten abrufen.
| Role | Permissions |
|---|---|
Error Reporting Admin Beta( Provides full access to Error Reporting data. Lowest-level resources where you can grant this role:
|
|
Error Reporting User Beta( Provides the permissions to read and write Error Reporting data, except for sending new error events. Lowest-level resources where you can grant this role:
|
|
Error Reporting Viewer Beta( Provides read-only access to Error Reporting data. Lowest-level resources where you can grant this role:
|
|
Error Reporting Writer Beta( Provides the permissions to send error events to Error Reporting. Lowest-level resources where you can grant this role:
|
|
API-Berechtigungen
Für Methoden der Error Reporting API sind bestimmte IAM-Berechtigungen erforderlich. In der folgenden Tabelle werden die Berechtigungen beschrieben, die für die API-Methoden erforderlich sind.
| Methode | Erforderliche Berechtigungen | Beschreibung |
|---|---|---|
deleteEvents |
errorreporting.errorEvents.delete |
Fehlerereignisse löschen |
events.list |
errorreporting.errorEvents.list |
Fehlerereignisse auflisten |
events.report |
errorreporting.errorEvents.create |
Fehlerereignisse erstellen oder aktualisieren |
groupStats.list |
errorreporting.groups.list |
ErrorGroupStats auflisten |
groups.get |
errorreporting.groupMetadata.get |
Informationen zu Fehlergruppen abrufen |
groups.update |
errorreporting.groupMetadata.update errorreporting.applications.list |
Fehlerlösungsstatus ändern |
Weitere Gesichtspunkte
Sehen Sie sich bei der Entscheidung, welche Berechtigungen und Rollen für die Anwendungsfälle eines Hauptkontos gelten, die folgende Zusammenfassung der Error Reporting-Aktivitäten und erforderlichen Berechtigungen an:
| Aktivitäten | Erforderliche Berechtigungen |
|---|---|
| Sie haben Lesezugriff auf die Seite „Error Reporting“ in der Google Cloud Console. | errorreporting.applications.listerrorreporting.groupMetadata.geterrorreporting.groups.list |
| Gruppendetails in der Google Cloud Console ansehen. | Berechtigungen für den Lesezugriff sowie:errorreporting.errorEvents.list |
| Metadaten in der Google Cloud Console ändern Fehlerbehebungsstatus ändern, einschließlich ausgeblendeter Fehler | Berechtigungen für den Lesezugriff sowie:errorreporting.groupMetadata.update |
| Fehler in der Google Cloud Console löschen | Berechtigungen für den Lesezugriff sowie:errorreporting.errorEvents.delete |
| Fehler erstellen (keine Google Cloud Console-Berechtigungen erforderlich) | errorreporting.errorEvents.create |
| Benachrichtigungen abonnieren | Berechtigungen für den Lesezugriff sowie:cloudnotifications.activities.list |
Rollen gewähren und verwalten
Sie können IAM-Rollen mithilfe der Google Cloud Console, der IAM API-Methoden oder der Google Cloud CLI gewähren und verwalten. Eine Anleitung zum Gewähren und Verwalten von Rollen finden Sie unter Zugriff gewähren, ändern und widerrufen.
Einem Nutzer können mehrere Rollen zugewiesen werden. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.
Wenn Sie versuchen, auf eine Google Cloud-Ressource zuzugreifen und nicht die erforderlichen Berechtigungen haben, wenden Sie sich an den Nutzer, der als Inhaber der Ressource aufgeführt ist.
Benutzerdefinierte Rollen
Wählen Sie zum Erstellen einer benutzerdefinierten Rolle mit Error Reporting-Berechtigungen Berechtigungen aus API-Berechtigungen aus und folgen Sie dann der Anleitung zum Erstellen einer benutzerdefinierten Rolle.
Latenz der Rollenänderung
Da IAM-Berechtigungen in Error Reporting 5 Minuten lang im Cache gespeichert werden, dauert es bis zu 5 Minuten, bis eine Rollenänderung wirksam wird.