Controle de acesso com o IAM

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Esta página descreve como usar papéis e permissões do gerenciamento de identidade e acesso (IAM) para controlar o acesso a dados do Error Reporting nos recursos do Google Cloud.

Visão geral

As permissões e os papéis do IAM determinam sua capacidade de acessar dados por meio da API Error Reporting e do Console do Google Cloud.

Para usar o Error Reporting em um recurso do Google Cloud, como um projeto, uma pasta ou uma organização do Google Cloud, você precisa receber um papel do IAM nesse recurso. Esse papel precisa conter as permissões apropriadas.

Um papel é um conjunto de permissões. Não é possível conceder uma permissão principal diretamente. em vez disso, você concede a eles um papel. Quando você faz isso, concede ao principal todas as permissões contidas no papel. É possível atribuir vários papéis ao mesmo usuário.

Papéis predefinidos

O IAM fornece papéis predefinidos para dar acesso granular a recursos específicos do Google Cloud. O Google Cloud cria e mantém esses papéis e atualiza automaticamente as permissões conforme necessário, por exemplo, quando o Error Reporting adiciona novos recursos.

A tabela a seguir lista os papéis do Error Reporting, os títulos dos papéis, as descrições deles, as permissões contidas e o tipo de recurso de menor nível em que os papéis podem ser definidos. Um papel específico pode ser concedido a esse tipo de recurso ou, na maioria dos casos, a qualquer tipo acima dele na hierarquia do Google Cloud.

Para ver uma lista de cada permissão individual contida em um papel, consulte Como obter os metadados do papel.

Papel Permissões

(roles/errorreporting.admin)

Fornece acesso total aos dados do Error Reporting.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto

cloudnotifications.activities.list

errorreporting.*

  • errorreporting.applications.list
  • errorreporting.errorEvents.create
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update
  • errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Fornece as permissões para ler e gravar dados do Error Reporting, exceto para enviar novos eventos de erro.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Fornece acesso somente leitura aos dados do Error Reporting.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Projeto

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Fornece as permissões para enviar eventos de erro para o Error Reporting.

Recursos de nível mais baixo em que você pode conceder esse papel:

  • Conta de serviço

errorreporting.errorEvents.create

Permissões da API

Os métodos da API Error Reporting exigem permissões do IAM específicas. A tabela a seguir lista e descreve as permissões exigidas pelos métodos da API.

Método Permissões necessárias Descrição
deleteEvents errorreporting.errorEvents.delete Exclui eventos de erro.
events.list errorreporting.errorEvents.list Lista eventos de erro.
events.report errorreporting.errorEvents.create Cria ou atualiza eventos de erro.
groupStats.list errorreporting.groups.list Lista ErrorGroupStats.
groups.get errorreporting.groupMetadata.get Recupera informações do grupo de erro.
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Atualizar e silenciar informações do grupo de erros.
    Mudar o status da resolução de erros.
  • Lista serviços e versões de um projeto.
  • Considerações adicionais

    Ao decidir quais permissões e papéis se aplicam aos casos de uso de um principal, considere o seguinte resumo de atividades do Error Reporting e permissões necessárias:

    Atividades Permissões necessárias
    Tenha acesso somente leitura à página do console do Google Cloud do Error Reporting. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Veja os detalhes do grupo no Console do Google Cloud. Permissões para acesso somente leitura mais:
    errorreporting.errorEvents.list
    Alterar metadados no Console do Google Cloud. Alterar o status de resolução do erro, incluindo silenciar erros. Permissões para acesso somente leitura mais:
    errorreporting.groupMetadata.update
    Excluir erros no Console do Google Cloud. Permissões para acesso somente leitura mais:
    errorreporting.errorEvents.delete
    Criar erros (sem permissões do Console do Google Cloud necessárias) errorreporting.errorEvents.create
    Inscrever-se para receber notificações Permissões para acesso somente leitura mais:
    cloudnotifications.activities.list

    Conceder e gerenciar papéis

    É possível conceder e gerenciar papéis do IAM usando o Console do Google Cloud, os métodos da API do IAM ou a Google Cloud CLI. Para instruções sobre como conceder e gerenciar papéis, consulte Como conceder, alterar e revogar acesso.

    É possível atribuir vários papéis ao mesmo usuário. Para ver uma lista das permissões contidas em um papel, consulte Como receber os metadados do papel.

    Se você está tentando acessar um recurso do Google Cloud e não tem as permissões necessárias, entre em contato com o usuário listado como o Proprietário do recurso.

    Papéis personalizados

    Para criar um papel personalizado com permissões do Error Reporting, escolha as permissões de permissões da API e siga as instruções para criar um papel personalizado.

    Latência na mudança de papel

    O Error Reporting armazena as permissões de IAM em cache por cinco minutos. Sendo assim, um papel leva esse tempo para entrar em vigor.