アクセス制御ガイド

このページでは、Identity and Access Management(IAM)のロールと権限を使用して Google Cloud リソースの Error Reporting データへのアクセスを制御する方法について説明します。

概要

IAM の権限役割によって、Error Reporting API と Cloud Console を通じてデータへのアクセス アビリティを判断します。

Google Cloud リソース内で Google Cloud プロジェクト、フォルダ、組織などの Error Reporting を使用するには、そのリソースに対する IAM ロールが付与されている必要があります。このロールには適切な権限が含まれている必要があります。

役割は権限のコレクションです。メンバーに直接権限を付与することはできません。代わりに、ロールを付与します。メンバーに役割を付与すると、その役割に含まれるすべての権限がメンバーに付与されます。同じメンバーに複数のロールを付与できます。

定義済みの役割

IAM は事前定義済みのロールを提供し、特定の Google Cloud リソースに対するきめ細かいアクセス権を付与します。Google Cloud はこれらのロールを作成、維持し、必要に応じて自動的に権限を更新します(Error Reporting に新機能が追加された場合など)。

次の表に、Error Reporting のロール、タイトル、説明、含まれている権限、ロールを設定できる最低レベルのリソースタイプを示します。このリソースタイプまたはほとんどの場合に Google Cloud 階層のそれ以上の任意のタイプに特定のロールを付与できます。

ロールに含まれる各権限のリストを取得するには、ロール メタデータの取得をご覧ください。

ロール 役職 説明 権限 最下位のリソース
roles/errorreporting.admin Error Reporting 管理者 ベータ版 Error Reporting データへの完全アクセス権を付与します。
  • cloudnotifications.*
  • errorreporting.*
  • logging.notificationRules.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get
プロジェクト
roles/errorreporting.user Error Reporting ユーザー ベータ版 Error Reporting データを読み書きする権限(新しいエラーイベントの送信を除く)を付与します。
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.*
  • errorreporting.groups.*
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get
プロジェクト
roles/errorreporting.viewer Error Reporting 閲覧者 ベータ版 Error Reporting データに対する読み取り専用権限を付与します。
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groups.*
  • logging.notificationRules.get
  • logging.notificationRules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get
プロジェクト
roles/errorreporting.writer Error Reporting 書き込みベータ版 Error Reporting にエラーイベントを送信する権限を付与します。
  • errorreporting.errorEvents.create
サービス アカウント

API 権限

Error Reporting API メソッドでは、特定の IAM 権限が必要です。次の表に、API メソッドで必要な権限を記載して、説明します。

メソッド 必要な権限 説明
deleteEvents errorreporting.errorEvents.delete エラーイベントの削除。
events.list errorreporting.errorEvents.list エラーイベントの一覧表示。
events.report errorreporting.errorEvents.create エラーイベントの作成または更新。
groupStats.list errorreporting.groups.list ErrorGroupStats の一覧表示。
groups.get errorreporting.groupMetadata.get エラーグループ情報の取得。
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • エラーグループ情報の更新とミュート。
    エラー解決ステータスの変更。
  • プロジェクトのサービスとバージョンの一覧表示。
  • 考慮事項

    リソース メンバーのユースケースに適用する権限と役割を決定する際は、次に示す Error Reporting アクティビティと必要な権限の概要を検討してください。

    アクティビティ 必要な権限
    Error Reporting Cloud Console のページに対する読み取り専用アクセス権があります。 errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Cloud Console でグループの詳細を表示します。 読み取り専用権限と以下の権限:
    errorreporting.errorEvents.list
    Cloud Console でメタデータを変更します。エラーのミュートを含むエラー解決ステータスを変更します。 読み取り専用権限と以下の権限:
    errorreporting.groupMetadata.update
    Cloud Console でエラーを削除します。 読み取り専用権限と以下の権限:
    errorreporting.errorEvents.delete
    エラーを作成します(Cloud Console権限は必要ありません)。 errorreporting.errorEvents.create
    通知を設定します。 読み取り専用権限と以下の権限:
    cloudnotifications.activities.list

    ロールの付与と管理

    Cloud Console、IAM API メソッド、またはgcloud コマンドライン ツールを使用して IAM ロールを付与し、管理できます。ロールの付与と管理の手順については、アクセス権の付与、変更、取り消しをご覧ください。

    1 人のユーザーに複数のロールを付与できます。ロールに含まれる権限のリストを取得するには、ロール メタデータの取得をご覧ください。

    Google Cloud リソースにアクセスしようとしたときに必要な権限が不足している場合は、リソースのオーナーとして登録されているメンバーにお問い合わせください。

    カスタムの役割

    Error Reporting 権限を含むカスタムロールを作成するには、API 権限から権限を選択し、カスタムロールの作成の手順に従います。

    役割変更の適用遅延

    Error Reporting は IAM 権限を 5 分間キャッシュに保存します。このため、ロールの変更が反映されるまでに最大で 5 分ほどかかります。