访问权限控制指南

Google Cloud 提供 Identity and Access Management,可让您授予对特定 Google Cloud 资源的更细化访问权限,并防止对其他资源进行不必要的访问。本页面介绍了 Error Reporting IAM 角色:如需详细了解 IAM,请参阅 IAM 文档

IAM 允许您采用最小权限安全原则,因此您仅授予对必要资源的访问权限。

IAM 允许您通过设置 IAM 政策来控制谁(用户)哪些资源具有什么权限(角色)。您可以使用 IAM 政策向用户授予特定角色,给予用户某些权限。

权限和角色

本部分汇总了 Error Reporting 支持的 IAM 权限和角色。

所需权限

下表列出了调用者调用每种方法所必需的 IAM 权限:

方法 所需权限 说明
deleteEvents errorreporting.errorEvents.delete 删除错误事件。
events.list errorreporting.errorEvents.list 列出错误事件。
events.report errorreporting.errorEvents.create 创建或更新错误事件。
groupStats.list errorreporting.groups.list 列出 ErrorGroupStats
groups.get errorreporting.groupMetadata.get 检索错误组信息。
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • 更新和忽略错误组信息。
    更改错误的解决状态。
  • 列出项目的服务和版本。
  • 支持的角色

    借助 IAM,Error Reporting 中的每个 API 方法都要求发出 API 请求的帐号具有使用相应资源的适当权限。您可以通过设置向用户、群组或服务帐号授予角色的政策来授予权限。除了 Owner、Editor 和 Viewer 这些基本角色之外,您还可以为项目的用户授予 Error Reporting 角色。

    下表列出了 Error Reporting IAM 角色。您可以向用户、群组或服务帐号授予多个角色。

    角色 权限 说明
    roles/errorreporting.viewer
    Error Reporting Viewer
    errorreporting.applications.list
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    提供 Error Reporting 数据的只读权限。
    roles/errorreporting.user
    Error Reporting User
    errorreporting.applications.list
    errorreporting.errorEvents.delete
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groupMetadata.update
    errorreporting.groups.list
    提供 Error Reporting 数据的读写权限,但您无法创建新的错误事件。
    roles/errorreporting.writer
    Error Reporting Writer
    errorreporting.errorEvents.create 可向 Error Reporting 发送错误事件。适用于服务帐号。
    roles/errorreporting.admin
    Error Reporting Admin
    errorreporting.applications.list
    errorreporting.errorEvents.create errorreporting.errorEvents.delete
    errorreporting.errorEvents.list
    errorreporting.groupMetadata.get
    errorreporting.groupMetadata.update
    errorreporting.groups.list
    提供 Error Reporting 数据的完整访问权限。

    自定义角色

    下表显示了要向自定义 IAM 角色添加哪些权限才能允许 Error Reporting 活动:

    活动 所需权限
    对 Error Reporting 控制台页面的最小只读权限。 errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    在控制台中查看组详细信息。 最小权限,再加上:
    errorreporting.errorEvents.list
    在控制台中更改元数据。更改错误解决状态,包括忽略错误在内。 最小权限,再加上:
    errorreporting.groupMetadata.update
    删除控制台中的错误。 最小权限,再加上:
    errorreporting.errorEvents.delete
    创建错误(无需控制台权限)。 errorreporting.errorEvents.create
    订阅通知。 最小权限,再加上:
    cloudnotifications.activities.list

    如果要授予对 Error Reporting API 中某些方法(而非控制台)的访问权限,只需向自定义角色添加各 API 方法的权限即可。请参见此页面上的所需权限

    角色更改延迟时间

    Error Reporting 会将 IAM 权限缓存 5 分钟,因此角色更改需要 5 分钟才能生效。

    管理 IAM 政策

    您可以使用 Cloud Console、IAM API 或 gcloud 命令行工具来获取和设置 IAM 政策。

    后续步骤