Controllo dell'accesso con IAM

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina descrive come utilizzi i ruoli e le autorizzazioni di Identity and Access Management (IAM) per controllare l'accesso ai dati di Error Reporting nelle risorse Google Cloud.

Panoramica

Le autorizzazioni e i ruoli IAM determinano la tua capacità di accedere ai dati tramite l'API Error Reporting e la console Google Cloud.

Per utilizzare Error Reporting all'interno di una risorsa di Google Cloud, ad esempio un progetto, una cartella o un'organizzazione di Google Cloud, devi disporre di un ruolo IAM nella risorsa. Questo ruolo deve contenere le autorizzazioni appropriate.

Un ruolo è una raccolta di autorizzazioni. Non puoi concedere direttamente un'autorizzazione principale, ma devi concedere un ruolo. Quando concedi un ruolo a un amministratore, gli concedi tutte le autorizzazioni che contiene. Puoi concedere più ruoli alla stessa entità.

Ruoli predefiniti

IAM fornisce ruoli predefiniti per concedere un accesso granulare a determinate risorse Google Cloud. Google Cloud crea e gestisce questi ruoli e, se necessario, aggiorna automaticamente le autorizzazioni, ad esempio quando Error Reporting aggiunge nuove funzionalità.

Nella tabella seguente sono elencati i ruoli di Error Reporting, i titoli, le relative descrizioni, le autorizzazioni contenute e il tipo di risorsa di livello più basso che è possibile impostare. Un ruolo particolare può essere concesso su questo tipo di risorsa o, nella maggior parte dei casi, su qualsiasi tipo al di sopra di questo tipo nella gerarchia di Google Cloud.

Per ottenere un elenco di ogni singola autorizzazione contenuta in un ruolo, consulta la sezione Ottenere i metadati del ruolo.

Ruolo Autorizzazioni

(roles/errorreporting.admin)

Fornisce l'accesso completo ai dati di Error Reporting.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

notifiche.elenco.elenco

segnalazione degli errori.*

  • segnalazione errori.applicazioni.elenco
  • errorreporting.errorEvents.crea
  • errorreporting.errorEvents.elimina
  • errorreporting.errorEvents.Elenco
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.aggiornamento
  • errorreporting.groups.list

logging.notificationRegole.*

  • logging.notificationRegole.Creazione
  • logging.notificationRegole.Eliminazione
  • logging.notificationRegole.get
  • logging.notificationRegole.list
  • logging.notificationRegole.Aggiornamento

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Fornisce le autorizzazioni per leggere e scrivere dati di Error Reporting, tranne per l'invio di nuovi eventi di errore.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

notifiche.elenco.elenco

segnalazione errori.applicazioni.elenco

errorreporting.errorEvents.elimina

errorreporting.errorEvents.Elenco

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.aggiornamento

errorreporting.groups.list

logging.notificationRegole.*

  • logging.notificationRegole.Creazione
  • logging.notificationRegole.Eliminazione
  • logging.notificationRegole.get
  • logging.notificationRegole.list
  • logging.notificationRegole.Aggiornamento

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Fornisce l'accesso in sola lettura ai dati di Error Reporting.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto

notifiche.elenco.elenco

segnalazione errori.applicazioni.elenco

errorreporting.errorEvents.Elenco

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRegole.get

logging.notificationRegole.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Fornisce le autorizzazioni per inviare eventi di errore a Error Reporting.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Account di servizio

errorreporting.errorEvents.crea

Autorizzazioni API

I metodi dell'API Error Reporting richiedono autorizzazioni IAM specifiche. La tabella seguente elenca e descrive le autorizzazioni richieste dai metodi API.

Metodo Autorizzazioni obbligatorie Descrizione
deleteEvents errorreporting.errorEvents.delete Elimina eventi di errore.
events.list errorreporting.errorEvents.list Elencare gli eventi di errore.
events.report errorreporting.errorEvents.create Crea o aggiorna eventi di errore.
groupStats.list errorreporting.groups.list Elenco ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Recupera le informazioni sul gruppo di errori.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Aggiorna e disattiva le informazioni sul gruppo di errori.
    Modifica lo stato di risoluzione degli errori.
  • Elenca servizi e versioni per un progetto.
  • Ulteriori considerazioni

    Per decidere quali autorizzazioni e ruoli si applicano ai casi d'uso di un'entità, considera il seguente riepilogo delle attività di Error Reporting e delle autorizzazioni richieste:

    Attività Autorizzazioni obbligatorie
    Avere accesso di sola lettura alla pagina di Google Cloud Console di Error Reporting. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Visualizzare i dettagli del gruppo in Google Cloud Console. Autorizzazioni per l'accesso in sola lettura più:
    errorreporting.errorEvents.list
    Cambiare i metadati in Google Cloud Console. Modificare lo stato della risoluzione degli errori, inclusi gli errori di disattivazione. Autorizzazioni per l'accesso in sola lettura più:
    errorreporting.groupMetadata.update
    Eliminare gli errori in Google Cloud Console. Autorizzazioni per l'accesso in sola lettura più:
    errorreporting.errorEvents.delete
    Crea gli errori (non sono necessarie autorizzazioni di Google Cloud Console). errorreporting.errorEvents.create
    Iscriviti alle notifiche. Autorizzazioni per l'accesso in sola lettura più:
    cloudnotifications.activities.list

    Concedi e gestisci i ruoli

    Puoi concedere e gestire i ruoli IAM utilizzando Google Cloud Console, i metodi API IAM o Google Cloud CLI. Per istruzioni su come concedere e gestire i ruoli, consulta Concedere, modificare e revocare l'accesso.

    Puoi concedere più ruoli allo stesso utente. Per visualizzare un elenco delle autorizzazioni contenute in un ruolo, consulta la sezione Ottenere i metadati del ruolo.

    Se stai cercando di accedere a una risorsa di Google Cloud e non disponi delle autorizzazioni necessarie, contatta l'utente indicato come Proprietario della risorsa.

    Ruoli personalizzati

    Per creare un ruolo personalizzato con autorizzazioni di Error Reporting, scegli le autorizzazioni da Autorizzazioni API, quindi segui le istruzioni per creare un ruolo personalizzato.

    Latenza di modifica del ruolo

    Error Reporting memorizza nella cache le autorizzazioni IAM per 5 minuti, quindi ci vorranno fino a 5 minuti prima che una modifica del ruolo diventi effettiva.