En esta página, se describe cómo usar las funciones y los permisos de Identity and Access Management (IAM) para controlar el acceso a los datos de Error Reporting en los recursos de Google Cloud.
Descripción general
Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos a través de la API de Error Reporting y la consola de Google Cloud.
Para usar Error Reporting dentro de un recurso de Google Cloud, como un proyecto, una carpeta o una organización de Google Cloud, debes tener una función de IAM en ese recurso. Esta función debe contener los permisos adecuados.
Una función es un conjunto de permisos. No puedes otorgar permisos principales directamente. En su lugar, les otorgas una función. Cuando se asigna una función a una principal, se le otorgan todos los permisos que contiene esa función. Se pueden asignar varias funciones a la misma principal.
Funciones predefinidas
IAM proporciona funciones predefinidas para otorgar acceso detallado a recursos específicos de Google Cloud. Google Cloud crea y mantiene estas funciones y actualiza sus permisos automáticamente, según sea necesario, como cuando Error Reporting agrega funciones nuevas.
En la siguiente tabla, se enumeran las funciones de Error Reporting, los títulos de las funciones, sus descripciones, los permisos contenidos y el tipo de recurso de nivel inferior en el que se pueden establecer las funciones. Se puede otorgar una función específica a este tipo de recurso o, en la mayoría de los casos, a cualquier tipo superior en la jerarquía de Google Cloud.
Para obtener una lista de cada permiso individual contenido en una función, consulta cómo obtener los metadatos de la función.
| Role | Permissions |
|---|---|
Error Reporting Admin Beta( Provides full access to Error Reporting data. Lowest-level resources where you can grant this role:
|
|
Error Reporting User Beta( Provides the permissions to read and write Error Reporting data, except for sending new error events. Lowest-level resources where you can grant this role:
|
|
Error Reporting Viewer Beta( Provides read-only access to Error Reporting data. Lowest-level resources where you can grant this role:
|
|
Error Reporting Writer Beta( Provides the permissions to send error events to Error Reporting. Lowest-level resources where you can grant this role:
|
|
Permisos de la API
Los métodos de la API de Error Reporting requieren permisos de IAM específicos. En la siguiente tabla, se enumeran y describen los permisos que necesitan los métodos de la API.
| Método | Permisos necesarios | Descripción |
|---|---|---|
deleteEvents |
errorreporting.errorEvents.delete |
Borra los eventos de errores. |
events.list |
errorreporting.errorEvents.list |
Enumera los eventos de errores. |
events.report |
errorreporting.errorEvents.create |
Crea o actualiza los eventos de errores. |
groupStats.list |
errorreporting.groups.list |
Enumera ErrorGroupStats. |
groups.get |
errorreporting.groupMetadata.get |
Recupera la información de grupos de errores. |
groups.update |
errorreporting.groupMetadata.update errorreporting.applications.list |
Cambia el estado de resolución de los errores. |
Consideraciones adicionales
Cuando decidas qué permisos y funciones se aplican a los casos de uso de una principal, ten en cuenta el siguiente resumen de las actividades de Error Reporting y los permisos necesarios:
| Actividades | Permisos necesarios |
|---|---|
| Tener acceso de solo lectura a la página de la consola de Google Cloud de Error Reporting | errorreporting.applications.listerrorreporting.groupMetadata.geterrorreporting.groups.list |
| Consulta los detalles del grupo en la consola de Google Cloud. | Permisos para acceso de solo lectura además de:errorreporting.errorEvents.list |
| Cambiar los metadatos en la consola de Google Cloud Cambiar el estado de resolución de errores, incluidos los errores silenciados. | Permisos para acceso de solo lectura además de:errorreporting.groupMetadata.update |
| Borra errores en la consola de Google Cloud. | Permisos para acceso de solo lectura además de:errorreporting.errorEvents.delete |
| Crea errores (no se necesitan permisos de la consola de Google Cloud). | errorreporting.errorEvents.create |
| Suscripción a las notificaciones | Permisos para acceso de solo lectura además de:cloudnotifications.activities.list |
Otorga y administra roles
Puedes otorgar y administrar roles de IAM con la consola de Google Cloud, los métodos de la API de IAM o Google Cloud CLI. Para obtener instrucciones sobre cómo otorgar y administrar funciones, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.
Puedes asignar varias funciones al mismo usuario. Para obtener una lista de los permisos que contiene una función, consulta la página sobre cómo obtener los metadatos de la función.
Si intentas acceder a un recurso de Google Cloud y no tienes los permisos necesarios, comunícate con el usuario que aparece como el Propietario del recurso.
Roles personalizados
Para crear una función personalizada con permisos de Error Reporting, elige los permisos de Permisos de API y, luego, sigue las instrucciones a fin decrear una función personalizada.
Latencia del cambio de función
Error Reporting almacena en caché los permisos de IAM por 5 minutos, por lo que tomará hasta 5 minutos para que un cambio de función sea efectivo.