Guia de controle de acesso

Esta página descreve como usar papéis e permissões do gerenciamento de identidade e acesso (IAM) para controlar o acesso a dados do Error Reporting nos recursos do Google Cloud.

Visão geral

As permissões e papéis do IAM determinam sua capacidade de acessar dados por meio da API Error Reporting e do Console do Cloud.

Para usar o Error Reporting em um recurso do Google Cloud, como um projeto, uma pasta ou uma organização do Google Cloud, você precisa receber um papel do IAM nesse recurso. Esse papel precisa conter as permissões apropriadas.

Um papel é um conjunto de permissões. Não é possível conceder uma permissão principal diretamente. em vez disso, você concede a eles um papel. Quando você faz isso, concede ao proprietário todas as permissões contidas no papel. É possível conceder vários papéis ao mesmo principal.

Papéis predefinidos

O IAM fornece papéis predefinidos para dar acesso granular a recursos específicos do Google Cloud. O Google Cloud cria e mantém esses papéis e atualiza automaticamente as permissões conforme necessário, por exemplo, quando o Error Reporting adiciona novos recursos.

A tabela a seguir lista os papéis do Error Reporting, os títulos dos papéis, as descrições deles, as permissões contidas e o tipo de recurso de menor nível em que os papéis podem ser definidos. Um papel específico pode ser concedido nesse tipo de recurso ou, na maioria dos casos, em qualquer tipo acima dele na hierarquia do Google Cloud.

Para ver uma lista de cada permissão individual contida em um papel, consulte Como obter os metadados do papel.

Papel Permissões

Administrador do Error Reporting Beta
(roles/errorreporting.admin)

Fornece acesso total aos dados do Error Reporting.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto
  • cloudnotifications.*
  • errorreporting.*
  • logging.notificationRules.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get

Usuário do Error Reporting Beta
(roles/errorreporting.user)

Fornece as permissões para ler e gravar dados do Error Reporting, exceto para enviar novos eventos de erro.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.*
  • errorreporting.groups.*
  • logging.notificationRules.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get

Leitor do Error Reporting Beta
(roles/errorreporting.viewer)

Fornece acesso somente leitura aos dados do Error Reporting.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groups.*
  • logging.notificationRules.get
  • logging.notificationRules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • stackdriver.projects.get

Gravador do Error Reporting Beta
(roles/errorreporting.writer)

Fornece as permissões para enviar eventos de erro para o Error Reporting.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Conta de serviço
  • errorreporting.errorEvents.create

Permissões da API

Os métodos da API Error Reporting exigem permissões do IAM específicas. A tabela a seguir lista e descreve as permissões exigidas pelos métodos da API.

Método Permissões necessárias Descrição
deleteEvents errorreporting.errorEvents.delete Exclui eventos de erro.
events.list errorreporting.errorEvents.list Lista eventos de erro.
events.report errorreporting.errorEvents.create Cria ou atualiza eventos de erro.
groupStats.list errorreporting.groups.list Lista ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Recupera informações do grupo de erro.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Atualizar e silenciar informações do grupo de erros.
    Mudar o status da resolução de erros.
  • Lista serviços e versões de um projeto.
  • Outras considerações

    Ao decidir quais permissões e papéis se aplicam aos casos de uso de um principal, considere o seguinte resumo de atividades do Error Reporting e permissões necessárias:

    Atividades Permissões necessárias
    ter acesso somente leitura à página do Console do Cloud do Error Reporting; errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Veja os detalhes do grupo no Console do Cloud. Permissões para acesso somente leitura mais:
    errorreporting.errorEvents.list
    Altere os metadados no Console do Cloud. Alterar o status de resolução do erro, incluindo silenciar erros. Permissões para acesso somente leitura mais:
    errorreporting.groupMetadata.update
    Exclua erros no Console do Cloud. Permissões para acesso somente leitura mais:
    errorreporting.errorEvents.delete
    Criar erros (não é necessário ter permissões do Console do Cloud). errorreporting.errorEvents.create
    Inscrever-se para receber notificações Permissões para acesso somente leitura mais:
    cloudnotifications.activities.list

    Como conceder e gerenciar papéis

    É possível conceder e gerenciar papéis do IAM usando o Console do Cloud, os métodos da API IAM ou a ferramenta de linha de comando gcloud. Para instruções sobre como conceder e gerenciar papéis, consulte Como conceder, alterar e revogar acesso.

    É possível atribuir vários papéis ao mesmo usuário. Para ver uma lista das permissões contidas em um papel, consulte Como receber os metadados do papel.

    Se você está tentando acessar um recurso do Google Cloud e não tem as permissões necessárias, entre em contato com o usuário listado como o Proprietário do recurso.

    Papéis personalizados

    Para criar um papel personalizado com permissões do Error Reporting, escolha as permissões de permissões da API e siga as instruções para criar um papel personalizado.

    Latência na mudança de papel

    O Error Reporting armazena as permissões de IAM em cache por cinco minutos. Sendo assim, um papel leva esse tempo para entrar em vigor.