Control de acceso con IAM

En esta página, se describe cómo usar las funciones y los permisos de Identity and Access Management (IAM) para controlar el acceso a los datos de Error Reporting en los recursos de Google Cloud.

Descripción general

Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos a través de la API de Error Reporting y Cloud Console.

Para usar Error Reporting dentro de un recurso de Google Cloud, como un proyecto, una carpeta o una organización de Google Cloud, debes tener una función de IAM en ese recurso. Esta función debe contener los permisos adecuados.

Una función es un conjunto de permisos. No puedes otorgar permisos principales directamente. En su lugar, les otorgas una función. Cuando se asigna una función a una principal, se le otorgan todos los permisos que contiene esa función. Se pueden asignar varias funciones a la misma principal.

Funciones predefinidas

IAM proporciona funciones predefinidas para otorgar acceso detallado a recursos específicos de Google Cloud. Google Cloud crea y mantiene estas funciones y actualiza sus permisos automáticamente, según sea necesario, como cuando Error Reporting agrega funciones nuevas.

En la siguiente tabla, se enumeran las funciones de Error Reporting, los títulos de las funciones, sus descripciones, los permisos contenidos y el tipo de recurso de nivel inferior en el que se pueden establecer las funciones. Se puede otorgar una función específica a este tipo de recurso o, en la mayoría de los casos, a cualquier tipo superior en la jerarquía de Google Cloud.

Para obtener una lista de cada permiso individual contenido en una función, consulta cómo obtener los metadatos de la función.

Función Permisos

Administrador de Error Reporting Beta
(roles/errorreporting.admin)

Proporciona acceso completo a los datos de Error Reporting.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • cloudnotifications.*
  • errorreporting.*
  • logging.notificationRules.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get

Usuario de Error Reporting Beta
(roles/errorreporting.user)

Proporciona los permisos para leer y escribir datos de Error Reporting, excepto para enviar nuevos eventos de error.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.*
  • errorreporting.groups.*
  • logging.notificationRules.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get

Visualizador de Error Reporting Beta
(roles/errorreporting.viewer)

Proporciona acceso de solo lectura a los datos de Error Reporting.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groups.*
  • logging.notificationRules.get.
  • logging.notificationRules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get

Escritor de Error Reporting Beta
(roles/errorreporting.writer)

Proporciona los permisos para enviar eventos de error a Error Reporting.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Cuenta de servicio
  • errorreporting.errorEvents.create

Permisos de la API

Los métodos de la API de Error Reporting requieren permisos de IAM específicos. En la siguiente tabla, se enumeran y describen los permisos que necesitan los métodos de la API.

Método Permisos necesarios Descripción
deleteEvents errorreporting.errorEvents.delete Borra los eventos de errores.
events.list errorreporting.errorEvents.list Enumera los eventos de errores.
events.report errorreporting.errorEvents.create Crea o actualiza los eventos de errores.
groupStats.list errorreporting.groups.list Enumera ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Recupera la información de grupos de errores.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Actualiza y silencia la información de grupos de errores.
    Cambia el estado de resolución de los errores.
  • Enumera los servicios y las versiones para un proyecto.
  • Consideraciones adicionales

    Cuando decidas qué permisos y funciones se aplican a los casos de uso de una principal, ten en cuenta el siguiente resumen de las actividades de Error Reporting y los permisos necesarios:

    Actividades Permisos necesarios
    Debes tener acceso de solo lectura a la página de Cloud Console de Error Reporting. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Consulta los detalles del grupo en Cloud Console. Permisos para acceso de solo lectura además de:
    errorreporting.errorEvents.list
    Cambiar los metadatos en Cloud Console Cambiar el estado de resolución de errores, incluidos los errores silenciados. Permisos para acceso de solo lectura además de:
    errorreporting.groupMetadata.update
    Borra errores en Cloud Console. Permisos para acceso de solo lectura además de:
    errorreporting.errorEvents.delete
    Creación de errores (no se necesitan permisos en Cloud Console) errorreporting.errorEvents.create
    Suscripción a las notificaciones Permisos para acceso de solo lectura además de:
    cloudnotifications.activities.list

    Otorga y administra funciones

    Puedes otorgar y administrar funciones de IAM con Cloud Console, los métodos de la API de IAM o la herramienta de línea de comandos de gcloud. Para obtener instrucciones sobre cómo otorgar y administrar funciones, consulta la página sobre cómo otorgar, cambiar y revocar el acceso.

    Puedes asignar varias funciones al mismo usuario. Para obtener una lista de los permisos que contiene una función, consulta la página sobre cómo obtener los metadatos de la función.

    Si intentas acceder a un recurso de Google Cloud y no tienes los permisos necesarios, comunícate con el usuario que aparece como el Propietario del recurso.

    Funciones personalizadas

    Para crear una función personalizada con permisos de Error Reporting, elige los permisos de Permisos de API y, luego, sigue las instrucciones a fin decrear una función personalizada.

    Latencia del cambio de función

    Error Reporting almacena en caché los permisos de IAM por 5 minutos, por lo que tomará hasta 5 minutos para que un cambio de función sea efectivo.