Guía de control de acceso

Google Cloud ofrece la función de administración de identidades y accesos, que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen las funciones de IAM de Error Reporting. Para ver una descripción detallada de IAM, lee la documentación de IAM.

IAM te permite adoptar el principio de seguridad de menor privilegio para que solo otorgues acceso a los recursos necesarios.

IAM te permite controlar quién (usuarios) tiene quépermisos (funciones) para qué recursos con la configuración de las políticas de IAM. Las políticas de IAM asignan funciones específicas a un usuario, lo que le otorga ciertos permisos.

Permisos y funciones

En esta sección, se resumen los permisos y las funciones de Cloud IAM que admite Error Reporting.

Permisos necesarios

En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método:

Método Permisos necesarios Descripción
deleteEvents errorreporting.errorEvents.delete Borra los eventos de errores.
events.list errorreporting.errorEvents.list Enumera los eventos de errores.
events.report errorreporting.errorEvents.create Crea o actualiza los eventos de errores.
groupStats.list errorreporting.groups.list Enumera ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Recupera la información de grupos de errores.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Actualiza y silencia la información de grupos de errores.
    Cambia el estado de resolución de los errores.
  • Enumera los servicios y las versiones para un proyecto.
  • Funciones admitidas

    Con la IAM, cada método de la API en Error Reporting exige que la cuenta que envía la solicitud a la API tenga los permisos apropiados para usar el recurso. Para otorgar los permisos, se configuran políticas que asignan funciones a un usuario, un grupo o una cuenta de servicio. Además de las funciones básicas de propietario, editor y lector, puedes otorgar funciones de Error Reporting a los usuarios del proyecto.

    En la siguiente tabla, se enumeran las funciones de IAM de Error Reporting. Puedes asignar varias funciones a un usuario, un grupo o una cuenta de servicio.

    Función Permisos Descripción
    roles/errorreporting.viewer
    Visualizador de Error Reporting
    errorreporting.applications.list
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Acceso de solo lectura a todos los datos de Error Reporting.
    roles/errorreporting.user
    Usuario de Error Reporting
    errorreporting.applications.list
    errorreporting.errorEvents.delete
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groupMetadata.update
    errorreporting.groups.list
    Acceso de solo lectura a los datos de Error Reporting, excepto que no puedes crear eventos de errores nuevos.
    roles/errorreporting.writer
    Escritor de Error Reporting
    errorreporting.errorEvents.create Puede enviar eventos de errores a Error Reporting. Destinado a las cuentas de servicio.
    roles/errorreporting.admin
    Administrador de Error Reporting
    errorreporting.applications.list
    errorreporting.errorEvents.create errorreporting.errorEvents.delete
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groupMetadata.update
    errorreporting.groups.list
    Acceso completo a los datos de Error Reporting.

    Funciones personalizadas

    En la siguiente tabla se muestra qué permisos agregar a tu función de IAM personalizada para permitir las actividades de Error Reporting:

    Actividades Permisos necesarios
    Acceso de solo lectura mínimo a la página de la consola de Error Reporting errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Consulta de los detalles del grupo en la consola Permisos mínimos además de:
    errorreporting.errorEvents.list
    Cambiar los metadatos en la consola. Cambiar el estado de resolución de errores, incluidos los errores silenciados. Permisos mínimos además de:
    errorreporting.groupMetadata.update
    Borrado de errores en la consola Permisos mínimos además de:
    errorreporting.errorEvents.delete
    Creación de errores (no se necesitan permisos en la consola) errorreporting.errorEvents.create
    Suscripción a las notificaciones Permisos mínimos además de:
    cloudnotifications.activities.list

    Si deseas otorgar acceso a algunos métodos en la API de Error Reporting y no a la consola, puedes agregar a tu función personalizada solo los permisos para los métodos de API individuales. Consulta los permisos requeridos en esta página.

    Latencia del cambio de función

    Error Reporting almacena en caché los permisos de IAM por 5 minutos, por lo que tomará hasta 5 minutos para que un cambio de función sea efectivo.

    Cómo administrar las políticas de IAM

    Puedes obtener y configurar políticas de IAM mediante Google Cloud Console, los métodos de la API de IAM o la herramienta de línea de comandos de gcloud.

    Próximos pasos