Cette page explique comment utiliser les rôles et les autorisations IAM (Identity and Access Management) pour contrôler l'accès aux données Error Reporting dans les ressources Google Cloud.
Présentation
Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données via l'API Error Reporting et la console Google Cloud.
Pour utiliser Error Reporting dans une ressource Google Cloud, telle qu'un projet, un dossier ou une organisation Google Cloud, vous devez disposer d'un rôle IAM sur cette ressource. Ce rôle doit contenir les autorisations appropriées.
Un rôle est un ensemble d'autorisations. Vous ne pouvez pas accorder directement une autorisation principale. À la place, vous lui accordez un rôle. Lorsque vous attribuez un rôle à un compte principal, vous lui accordez toutes les autorisations associées. Vous pouvez attribuer plusieurs rôles au même compte principal.
Rôles prédéfinis
IAM fournit des rôles prédéfinis pour accorder un accès précis à des ressources Google Cloud spécifiques. Google Cloud crée et gère ces rôles, et met automatiquement à jour leurs autorisations si nécessaire, par exemple lorsque Error Reporting ajoute de nouvelles fonctionnalités.
Le tableau suivant répertorie les rôles Error Reporting, les titres des rôles, leurs descriptions, les autorisations qu'ils contiennent et le type de ressource le plus bas pour lequel les rôles peuvent être définis. Un rôle particulier peut être accordé à ce type de ressource ou, dans la plupart des cas, à tout type supérieur à celui-ci dans la hiérarchie Google Cloud.
Pour obtenir la liste de chaque autorisation individuelle contenue dans un rôle, consultez la section Obtenir les métadonnées du rôle.
| Role | Permissions |
|---|---|
Error Reporting Admin Beta( Provides full access to Error Reporting data. Lowest-level resources where you can grant this role:
|
|
Error Reporting User Beta( Provides the permissions to read and write Error Reporting data, except for sending new error events. Lowest-level resources where you can grant this role:
|
|
Error Reporting Viewer Beta( Provides read-only access to Error Reporting data. Lowest-level resources where you can grant this role:
|
|
Error Reporting Writer Beta( Provides the permissions to send error events to Error Reporting. Lowest-level resources where you can grant this role:
|
|
Autorisations des API
Les méthodes de l'API Error Reporting nécessitent des autorisations IAM spécifiques. Le tableau suivant répertorie et décrit les autorisations requises par les méthodes d'API.
| Méthode | Autorisation(s) requise(s) | Description |
|---|---|---|
deleteEvents |
errorreporting.errorEvents.delete |
Supprimer les événements associés à des erreurs |
events.list |
errorreporting.errorEvents.list |
Répertorier les événements associés à des erreurs |
events.report |
errorreporting.errorEvents.create |
Créer ou mettre à jour les événements associés à des erreurs |
groupStats.list |
errorreporting.groups.list |
Répertorier ErrorGroupStats |
groups.get |
errorreporting.groupMetadata.get |
Récupérer les informations du groupe d'erreurs |
groups.update |
errorreporting.groupMetadata.update errorreporting.applications.list |
Modifier l'état de résolution de l'erreur |
Informations complémentaires
Lorsque vous déterminez les autorisations et rôles applicables aux cas d'utilisation d'un compte principal, tenez compte du récapitulatif suivant des activités Error Reporting et des autorisations requises :
| Activités | Autorisations requises |
|---|---|
| Vous devez disposer d'un accès en lecture seule à la page de la console Google Cloud Error Reporting. | errorreporting.applications.listerrorreporting.groupMetadata.geterrorreporting.groups.list |
| consulter les détails du groupe dans la console Google Cloud ; | Autorisations d'accès en lecture seule plus :errorreporting.errorEvents.list |
| modifier les métadonnées dans la console Google Cloud ; Modifier l'état de résolution des erreurs, y compris ignorer ces dernières | Autorisations d'accès en lecture seule plus :errorreporting.groupMetadata.update |
| Supprimez les erreurs dans la console Google Cloud. | Autorisations d'accès en lecture seule plus :errorreporting.errorEvents.delete |
| Créer des erreurs (aucune autorisation nécessaire pour la console Google Cloud) | errorreporting.errorEvents.create |
| S'abonner à des notifications | Autorisations d'accès en lecture seule plus :cloudnotifications.activities.list |
Attribuer et gérer des rôles
Vous pouvez attribuer et gérer des rôles IAM à l'aide de la console Google Cloud, des méthodes de l'API IAM ou de Google Cloud CLI. Pour obtenir des instructions sur l'attribution et la gestion des rôles, consultez la page Accorder, modifier et révoquer les accès.
Vous pouvez attribuer plusieurs rôles au même utilisateur. Pour obtenir la liste des autorisations contenues dans un rôle, consultez la section Obtenir les métadonnées du rôle.
Si vous tentez d'accéder à une ressource Google Cloud et que vous ne disposez pas des autorisations nécessaires, contactez l'utilisateur désigné comme propriétaire de la ressource.
Rôles personnalisés
Pour créer un rôle personnalisé disposant des autorisations associées à Error Reporting, sélectionnez les autorisations de la section Autorisations des API, puis suivez les instructions permettant de créer un rôle personnalisé.
Latence de modification d'un rôle
Error Reporting met en cache les autorisations IAM pendant cinq minutes. La modification d'un rôle est appliquée dans ce même laps de temps.