アクセス制御ガイド

Google Cloud には Identity and Access Management 機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Error Reporting IAM のロールについて説明します。IAM の詳細については、IAM のドキュメントを参照してください。

IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、必要なリソースに対してのみアクセス権を付与できます。

IAM では、IAM ポリシーを設定することで、誰(ユーザー)に、どのリソースに対する何(ロール)の権限を付与するかを制御できます。IAM ポリシーは、特定のロールをユーザーに付与することで、そのユーザーに特定の権限を付与します。

権限と役割

このセクションでは、Error Reporting がサポートする IAM 権限とロールについて簡単に説明します。

必要な権限

次の表に、呼び出し元が各メソッドを呼び出す際に必要となる IAM 権限を示します。

メソッド 必要な権限 説明
deleteEvents errorreporting.errorEvents.delete エラーイベントの削除。
events.list errorreporting.errorEvents.list エラーイベントの一覧表示。
events.report errorreporting.errorEvents.create エラーイベントの作成または更新。
groupStats.list errorreporting.groups.list ErrorGroupStats の一覧表示。
groups.get errorreporting.groupMetadata.get エラーグループ情報の取得。
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • エラーグループ情報の更新とミュート。
    エラー解決ステータスの変更。
  • プロジェクトのサービスとバージョンの一覧表示。
  • サポートされているロール

    IAM では、Error Reporting 内のすべての API メソッドについて、リソースを使用するための適切な権限が API リクエストを行うアカウントに必要です。権限を付与するには、ユーザー、グループ、またはサービス アカウントにロールを付与するポリシーを設定します。プロジェクトのユーザーに対して、オーナー、編集者、閲覧者の基本のロールに加えて、Error Reporting のロールを付与できます。

    次の表は、Error Reporting IAM のロールを示しています。1 つのユーザー、グループ、またはサービス アカウントに複数のロールを付与できます。

    ロール 権限 説明
    roles/errorreporting.viewer
    Error Reporting 閲覧者
    errorreporting.applications.list
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Error Reporting データへの読み取り専用アクセス権。
    roles/errorreporting.user
    Error Reporting ユーザー
    errorreporting.applications.list
    errorreporting.errorEvents.delete
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groupMetadata.update
    errorreporting.groups.list
    Error Reporting データへの読み書きアクセス。新しいエラーイベントは作成できません。
    roles/errorreporting.writer
    Error Reporting 編集者
    errorreporting.errorEvents.create Error Reporting にエラーイベントを送信できる権限。サービス アカウント向けです。
    roles/errorreporting.admin
    Error Reporting 管理者
    errorreporting.applications.list
    errorreporting.errorEvents.create errorreporting.errorEvents.delete
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groupMetadata.update
    errorreporting.groups.list
    Error Reporting データへのフルアクセス。

    カスタムの役割

    次の表は、Error Reporting のアクティビティを許可するカスタム IAM ロールに必要な Error Reporting 権限を示しています。

    アクティビティ 必要な権限
    Error Reporting コンソール ページへの最小読み取り専用アクセス。 errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    コンソールでグループの詳細を表示します。 最小権限と以下の権限:
    errorreporting.errorEvents.list
    コンソールでメタデータを変更します。エラーのミュートを含むエラー解決ステータスを変更します。 最小権限と以下の権限:
    errorreporting.groupMetadata.update
    コンソールでエラーを削除します。 最小権限と以下の権限:
    errorreporting.errorEvents.delete
    エラーを作成します(コンソール権限は必要ありません)。 errorreporting.errorEvents.create
    通知を設定します。 最小権限と以下の権限:
    cloudnotifications.activities.list

    コンソールではなく Error Reporting API の一部のメソッドへのアクセス権を付与する場合は、個々の API メソッドの権限だけをカスタムロールに追加できます。このページの必要な権限をご覧ください。

    役割変更の適用遅延

    Error Reporting は IAM 権限を 5 分間キャッシュに保存します。このため、ロールの変更が反映されるまでに最大で 5 分ほどかかります。

    IAM ポリシーの管理

    IAM ポリシーの取得と設定には、Cloud Console、IAM API メソッド、gcloud コマンドライン ツールを使用できます。

    次のステップ