Controlla l'accesso con IAM

In questa pagina viene descritto come utilizzare i ruoli e le autorizzazioni di Identity and Access Management (IAM) per controllare l'accesso ai dati di Error Reporting nelle risorse di Google Cloud.

Panoramica

Le autorizzazioni e i ruoli IAM determinano la possibilità di accedere ai dati tramite l'API Error Reporting e la console Google Cloud.

Per utilizzare Error Reporting all'interno di una risorsa Google Cloud, ad esempio un progetto, una cartella o un'organizzazione Google Cloud, devi disporre di un ruolo IAM per la risorsa. Questo ruolo deve contenere le autorizzazioni appropriate.

Un ruolo è una raccolta di autorizzazioni. Non puoi concedere direttamente un'entità entità, ma piuttosto un ruolo. Quando concedi un ruolo a un amministratore, gli concedi tutte le autorizzazioni che contiene. Puoi concedere più ruoli alla stessa entità.

Ruoli predefiniti

IAM fornisce ruoli predefiniti per concedere l'accesso granulare a risorse Google Cloud specifiche. Google Cloud crea e gestisce questi ruoli e, se necessario, aggiorna automaticamente le autorizzazioni come, ad esempio, quando Error Reporting aggiunge nuove funzionalità.

Nella tabella seguente sono elencati i ruoli di Error Reporting, i titoli dei ruoli, le relative descrizioni, le autorizzazioni contenute e il tipo di risorsa di livello più basso in cui è possibile impostare i ruoli. È possibile concedere un determinato ruolo per questo tipo di risorsa o, nella maggior parte dei casi, per qualsiasi tipo al di sopra di questo nella gerarchia di Google Cloud.

Per visualizzare un elenco delle singole autorizzazioni contenute in un ruolo, vedi Ottenere i metadati del ruolo.

Role Permissions

(roles/errorreporting.admin)

Provides full access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.*

  • errorreporting.applications.list
  • errorreporting.errorEvents.create
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update
  • errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Provides the permissions to read and write Error Reporting data, except for sending new error events.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Provides read-only access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Provides the permissions to send error events to Error Reporting.

Lowest-level resources where you can grant this role:

  • Service Account

errorreporting.errorEvents.create

Autorizzazioni API

I metodi dell'API Error Reporting richiedono autorizzazioni IAM specifiche. La tabella seguente elenca e descrive le autorizzazioni necessarie per i metodi API.

Metodo Autorizzazioni richieste Descrizione
deleteEvents errorreporting.errorEvents.delete Eliminare gli eventi di errore.
events.list errorreporting.errorEvents.list Elencare gli eventi di errore.
events.report errorreporting.errorEvents.create Crea o aggiorna eventi di errore.
groupStats.list errorreporting.groups.list Elenco ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Recupera le informazioni sul gruppo di errori.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Aggiornare e disattivare le informazioni sul gruppo di errori.
    Modifica lo stato di risoluzione degli errori.
  • Elencare servizi e versioni di un progetto.
  • Ulteriori considerazioni

    Quando decidi quali autorizzazioni e ruoli applicare ai casi d'uso di un'entità, tieni presente il seguente riepilogo delle attività e delle autorizzazioni richieste di Error Reporting:

    Attività Autorizzazioni obbligatorie
    Hanno accesso di sola lettura alla pagina della console di Google Cloud Error Reporting. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Visualizzare i dettagli del gruppo nella console Google Cloud. Autorizzazioni per l'accesso in sola lettura con:
    errorreporting.errorEvents.list
    Cambiare i metadati in Google Cloud Console. Modificare lo stato di risoluzione degli errori, inclusi gli errori di disattivazione. Autorizzazioni per l'accesso in sola lettura con:
    errorreporting.groupMetadata.update
    Eliminare errori nella console Google Cloud. Autorizzazioni per l'accesso in sola lettura con:
    errorreporting.errorEvents.delete
    Crea errori (non sono necessarie autorizzazioni della console Google Cloud). errorreporting.errorEvents.create
    Iscriviti alle notifiche. Autorizzazioni per l'accesso in sola lettura con:
    cloudnotifications.activities.list

    Concedere e gestire i ruoli

    Puoi concedere e gestire i ruoli IAM utilizzando la console Google Cloud, i metodi dell'API IAM o Google Cloud CLI. Per istruzioni sulla concessione e sulla gestione dei ruoli, consulta Concedere, modificare e revocare l'accesso.

    Puoi concedere più ruoli allo stesso utente. Per un elenco delle autorizzazioni contenute in un ruolo, vedi Ottenere i metadati del ruolo.

    Se stai tentando di accedere a una risorsa di Google Cloud e non disponi delle autorizzazioni necessarie, contatta l'utente indicato come Proprietario della risorsa.

    Ruoli personalizzati

    Per creare un ruolo personalizzato con le autorizzazioni di Error Reporting, scegli le autorizzazioni da autorizzazioni API, quindi segui le istruzioni per creare un ruolo personalizzato.

    Latenza di modifica dei ruoli

    Error Reporting memorizza nella cache le autorizzazioni IAM per 5 minuti, pertanto sono necessari fino a 5 minuti affinché la modifica di un ruolo diventi effettiva.