アクセス制御ガイド

Google Cloud には Cloud Identity and Access Management 機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Error Reporting Cloud IAM のロールについて説明します。Cloud IAM の詳細は、Cloud IAM のドキュメントをご覧ください。

Cloud IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、必要なリソースに対してのみアクセス権を付与できます。

Cloud IAM では、Cloud IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどの権限(ロール)を付与するかを制御できます。Cloud IAM ポリシーは、特定のロールをユーザーに付与することで、そのユーザーに特定の権限を付与します。

権限とロール

このセクションでは、Error Reporting でサポートされる Cloud IAM の権限とロールをまとめます。

必要な権限

次の表に、呼び出し元が各メソッドを呼び出す際に必要となる Cloud IAM 権限を示します。

メソッド 必要な権限 説明
deleteEvents errorreporting.errorEvents.delete エラーイベントの削除。
events.list errorreporting.errorEvents.list エラーイベントの一覧表示。
events.report errorreporting.errorEvents.create エラーイベントの作成または更新。
groupStats.list errorreporting.groups.list ErrorGroupStats の一覧表示。
groups.get errorreporting.groupMetadata.get エラーグループ情報の取得。
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • エラーグループ情報の更新とミュート。
    エラー解決ステータスの変更。
  • プロジェクトのサービスとバージョンの一覧表示。
  • サポートされているロール

    Error Reporting の API メソッドを使用して API リクエストを行うアカウントには、Cloud IAM を通じて、リソースを使用するための適切な権限が割り当てられている必要があります。権限は、ユーザー、グループ、またはサービス アカウントにロールを付与するポリシーを設定することで付与されます。プロジェクトのユーザーに対して、オーナー、編集者、閲覧者の基本のロールに加えて、Error Reporting のロールを付与できます。

    次の表に、Error Reporting Cloud IAM のロールを示します。1 つのユーザー、グループ、またはサービス アカウントに複数のロールを付与できます。

    ロール 権限 説明
    roles/errorreporting.viewer
    Error Reporting 閲覧者
    errorreporting.applications.list
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Error Reporting データへの読み取り専用アクセス権。
    roles/errorreporting.user
    Error Reporting ユーザー
    errorreporting.applications.list
    errorreporting.errorEvents.delete
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groupMetadata.update
    errorreporting.groups.list
    Error Reporting データへの読み書きアクセス。新しいエラーイベントは作成できません。
    roles/errorreporting.writer
    Error Reporting 編集者
    errorreporting.errorEvents.create Error Reporting にエラーイベントを送信できる権限。サービス アカウント向けです。
    roles/errorreporting.admin
    Error Reporting 管理者
    errorreporting.applications.list
    errorreporting.errorEvents.create errorreporting.errorEvents.delete
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groupMetadata.update
    errorreporting.groups.list
    Error Reporting データへのフルアクセス。

    カスタムロール

    次の表は、Error Reporting のアクティビティを許可するためにカスタム Cloud IAM ロールに追加する権限を示しています。

    アクティビティ 必要な権限
    Error Reporting コンソール ページへの最小読み取り専用アクセス。 errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    コンソールでグループの詳細を表示します。 最小権限と以下の権限:
    errorreporting.errorEvents.list
    コンソールでメタデータを変更します。エラーのミュートを含むエラー解決ステータスを変更します。 最小権限と以下の権限:
    errorreporting.groupMetadata.update
    コンソールでエラーを削除します。 最小権限と以下の権限:
    errorreporting.errorEvents.delete
    エラーを作成します(コンソール権限は必要ありません)。 errorreporting.errorEvents.create
    通知を設定します。 最小権限と以下の権限:
    cloudnotifications.activities.list

    コンソールではなく Error Reporting API の一部のメソッドへのアクセス権を付与する場合は、個々の API メソッドの権限だけをカスタムロールに追加できます。このページの必要な権限をご覧ください。

    ロール変更のレイテンシ

    Error Reporting は Cloud IAM 権限を 5 分間キャッシュに保存します。このため、ロールの変更が反映されるまでに最大で 5 分ほどかかります。

    Cloud IAM ポリシーの管理

    Cloud IAM ポリシーの取得と設定には、Cloud Console、Cloud IAM API メソッド、gcloud コマンドライン ツールを使用できます。

    次のステップ