Controla el acceso con IAM

En esta página, se describe cómo usar las funciones y los permisos de Identity and Access Management (IAM) para controlar el acceso a los datos de Error Reporting en los recursos de Google Cloud.

Descripción general

Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos a través de la API de Error Reporting y la consola de Google Cloud.

Para usar Error Reporting dentro de un recurso de Google Cloud, como un proyecto, una carpeta o una organización de Google Cloud, debes tener una función de IAM en ese recurso. Esta función debe contener los permisos adecuados.

Una función es un conjunto de permisos. No puedes otorgar permisos principales directamente. En su lugar, les otorgas una función. Cuando se asigna una función a una principal, se le otorgan todos los permisos que contiene esa función. Se pueden asignar varias funciones a la misma principal.

Funciones predefinidas

IAM proporciona funciones predefinidas para otorgar acceso detallado a recursos específicos de Google Cloud. Google Cloud crea y mantiene estas funciones y actualiza sus permisos automáticamente, según sea necesario, como cuando Error Reporting agrega funciones nuevas.

En la siguiente tabla, se enumeran las funciones de Error Reporting, los títulos de las funciones, sus descripciones, los permisos contenidos y el tipo de recurso de nivel inferior en el que se pueden establecer las funciones. Se puede otorgar una función específica a este tipo de recurso o, en la mayoría de los casos, a cualquier tipo superior en la jerarquía de Google Cloud.

Para obtener una lista de cada permiso individual contenido en una función, consulta cómo obtener los metadatos de la función.

Role Permissions

(roles/errorreporting.admin)

Provides full access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.*

  • errorreporting.applications.list
  • errorreporting.errorEvents.create
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update
  • errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Provides the permissions to read and write Error Reporting data, except for sending new error events.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Provides read-only access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Provides the permissions to send error events to Error Reporting.

Lowest-level resources where you can grant this role:

  • Service Account

errorreporting.errorEvents.create

Permisos de la API

Los métodos de la API de Error Reporting requieren permisos de IAM específicos. En la siguiente tabla, se enumeran y describen los permisos que necesitan los métodos de la API.

Método Permisos necesarios Descripción
deleteEvents errorreporting.errorEvents.delete Borra los eventos de errores.
events.list errorreporting.errorEvents.list Enumera los eventos de errores.
events.report errorreporting.errorEvents.create Crea o actualiza los eventos de errores.
groupStats.list errorreporting.groups.list Enumera ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Recupera la información de grupos de errores.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Actualiza y silencia la información de grupos de errores.
    Cambia el estado de resolución de los errores.
  • Enumera los servicios y las versiones para un proyecto.
  • Consideraciones adicionales

    Cuando decidas qué permisos y funciones se aplican a los casos de uso de una principal, ten en cuenta el siguiente resumen de las actividades de Error Reporting y los permisos necesarios:

    Actividades Permisos necesarios
    Debes tener acceso de solo lectura a la página de la consola de Google Cloud de Error Reporting. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Consulta los detalles del grupo en la consola de Google Cloud. Permisos para acceso de solo lectura además de:
    errorreporting.errorEvents.list
    Cambiar los metadatos en la consola de Google Cloud Cambiar el estado de resolución de errores, incluidos los errores silenciados. Permisos para acceso de solo lectura además de:
    errorreporting.groupMetadata.update
    Borra errores en la consola de Google Cloud. Permisos para acceso de solo lectura además de:
    errorreporting.errorEvents.delete
    Creación de errores (no se necesitan permisos en la consola de Google Cloud) errorreporting.errorEvents.create
    Suscripción a las notificaciones Permisos para acceso de solo lectura además de:
    cloudnotifications.activities.list

    Otorga y administra roles

    Puedes otorgar y administrar roles de IAM con la consola de Google Cloud, los métodos de la API de IAM o Google Cloud CLI. Para obtener instrucciones sobre cómo otorgar y administrar roles, consulta la página sobre cómo otorgar, cambiar y revocar el acceso.

    Puedes asignar varias funciones al mismo usuario. Para obtener una lista de los permisos que contiene una función, consulta la página sobre cómo obtener los metadatos de la función.

    Si intentas acceder a un recurso de Google Cloud y no tienes los permisos necesarios, comunícate con el usuario que aparece como el Propietario del recurso.

    Funciones personalizadas

    Para crear una función personalizada con permisos de Error Reporting, elige los permisos de Permisos de API y, luego, sigue las instrucciones a fin decrear una función personalizada.

    Latencia del cambio de función

    Error Reporting almacena en caché los permisos de IAM por 5 minutos, por lo que tomará hasta 5 minutos para que un cambio de función sea efectivo.