アクセス制御ガイド

Google Cloud Platform に用意されている Identity and Access Management(IAM)機能を使用すると、特定の Google Cloud Platform リソースに対するアクセス権を詳細に設定して他のリソースへの不要なアクセスを防ぐことができます。このページでは Stackdriver Error Reporting IAM の役割について説明します。Cloud IAM について詳しくは、IAM のドキュメントをご覧ください。

IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、必要なリソースに対してのみアクセス権を付与できます。

IAM では、IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(役割)を付与するかを制御することができます。IAM ポリシーは、特定の役割をユーザーに付与することで、そのユーザーに特定の権限を付与します。

権限と役割

ここでは、Error Reporting でサポートされる権限と役割を簡単に説明します。

必要な権限

次の表に、各メソッドを呼び出すために呼び出し元が持っている必要のある権限のリストを示します。

メソッド 必要な権限
deleteEvents errorreporting.errorEvents.delete
events.list errorreporting.errorEvents.list
events.report errorreporting.errorEvents.create
groupStats.list errorreporting.groups.list
groups.get errorreporting.groupMetadata.get
groups.update errorreporting.groupMetadata.update

役割

IAM では、Error Reporting 内のすべての API メソッドについて、リソースを使用するための適切な権限が API リクエストを行うアカウントに必要です。権限は、ユーザー、グループ、またはサービス アカウントに役割を付与するポリシーを設定することで付与されます。プロジェクトのユーザーに対して、オーナー、編集者、閲覧者の基本の役割に加えて、Error Reporting の役割を付与できます。

次の表は、Error Reporting IAM の役割を示しています。1 つのユーザー、グループ、またはサービス アカウントに複数の役割を付与できます。

役割 権限 説明
roles/errorreporting.viewer
Error Reporting 閲覧者
errorreporting.applications.list
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groups.list
Error Reporting データへの読み取り専用アクセス権。
roles/errorreporting.user
Error Reporting ユーザー
errorreporting.applications.list
errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groupMetadata.update
errorreporting.groups.list
Error Reporting データへの読み書きアクセス。新しいエラーイベントは作成できません。
roles/errorreporting.writer
Error Reporting 書き込み
errorreporting.errorEvents.create Error Reporting にエラーイベントを送信できる権限。サービス アカウント向けです。
roles/errorreporting.admin
Error Reporting 管理者
errorreporting.applications.list
errorreporting.errorEvents.create errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groupMetadata.update
errorreporting.groups.list
Error Reporting データへのフルアクセス。

カスタムの役割

次の表は、Error Reporting のアクティビティを許可するカスタム IAM 役割に必要な Error Reporting 権限を示しています。

アクティビティ 必要な権限
Error Reporting コンソール ページへの最小読み取り専用アクセス。 errorreporting.applications.list
errorreporting.groupMetadata.get
errorreporting.groups.list
コンソールでグループの詳細を表示します。 最小権限に加えて:
errorreporting.errorEvents.list
コンソールでメタデータを変更します。エラーのミュートを含むエラー解決ステータスを変更します。 最小権限に加えて:
errorreporting.groupMetadata.update
コンソールでエラーを削除します。 最小権限に加えて:
errorreporting.errorEvents.delete
エラーを作成します(コンソール権限は必要ありません)。 errorreporting.errorEvents.create
通知を設定します。 最小権限に加えて:
cloudnotifications.activities.list

コンソールではなく Error Reporting API の一部のメソッドへのアクセス権を付与する場合は、個々の API メソッドの権限だけをカスタム役割に追加できます。このページの必要な権限をご覧ください。

権限

次の表に、Error Reporting でサポートされる権限を示します。

権限名 説明
errorreporting.applications.list プロジェクトのサービスとバージョンの一覧表示。
errorreporting.errorEvents.create エラーイベントの作成または更新。
errorreporting.errorEvents.delete エラーイベントの削除。
errorreporting.errorEvents.list エラーイベントの一覧表示。
errorreporting.groups.list ErrorGroupStats の一覧表示。
errorreporting.groupMetadata.get エラーグループ情報の取得。
errorreporting.groupMetadata.update エラーグループ情報の更新。エラー解決ステータス(エラーのミュート)を変更します。

役割変更のレイテンシ

Error Reporting は IAM 権限を 5 分間キャッシュに保存します。このため、役割の変更が反映されるまでに最大で 5 分ほどかかります。

IAM ポリシーの管理

Google Cloud Platform Console、IAM API メソッド、gcloud コマンドライン ツールを使用して、IAM ポリシーを取得および設定できます。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Stackdriver Error Reporting ドキュメント