访问权限控制指南

Google Cloud Platform 提供了 Identity and Access Management (IAM),借助此服务,您可以授予对特定 Google Cloud Platform 资源的更精细的访问权限,并防止对其他资源进行不必要的访问。此页面介绍了 Stackdriver Error Reporting IAM 角色。如需详细了解 Cloud IAM,请参阅 IAM 文档

IAM 允许您采用最小权限安全原则,因此您仅授予对必要资源的访问权限。

IAM 允许您通过设置 IAM 策略来控制谁(用户)哪些资源具有什么权限(角色)。您可以使用 IAM 政策向用户授予特定角色,从而为用户提供特定权限。

权限和角色

本部分汇总了 Error Reporting 支持的权限和角色。

所需权限

下表列出了调用者调用各种方法必须具备的权限:

方法 所需权限
deleteEvents errorreporting.errorEvents.delete
events.list errorreporting.errorEvents.list
events.report errorreporting.errorEvents.create
groupStats.list errorreporting.groups.list
groups.get errorreporting.groupMetadata.get
groups.update errorreporting.groupMetadata.update

角色

借助 IAM,Error Reporting 中的每个 API 方法都要求发出 API 请求的帐号具有使用相应资源的适当权限。您可以通过设置向用户、群组或服务帐号授予角色的策略来授予权限。除了所有者、编辑者和查看者这些初始角色之外,您还可以为项目的用户授予 Error Reporting 角色。

下表列出了 Error Reporting IAM 角色。您可以向用户、群组或服务帐号授予多个角色。

角色 权限 说明
roles/errorreporting.viewer
Error Reporting 查看者
errorreporting.applications.list
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groups.list
提供 Error Reporting 数据的只读权限。
roles/errorreporting.user
Error Reporting 用户
errorreporting.applications.list
errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groupMetadata.update
errorreporting.groups.list
提供 Error Reporting 数据的读写权限,但您无法创建新的错误事件。
roles/errorreporting.writer
Error Reporting 编写者
errorreporting.errorEvents.create 可向 Error Reporting 发送错误事件。专用于服务帐号。
roles/errorreporting.admin
Error Reporting 管理员
errorreporting.applications.list
errorreporting.errorEvents.create errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groupMetadata.update
errorreporting.groups.list
提供 Error Reporting 数据的完整访问权限。

自定义角色

下表显示了要向自定义 IAM 角色添加哪些权限才能允许 Error Reporting 活动:

活动 所需权限
对 Error Reporting 控制台页面的最小只读权限。 errorreporting.applications.list
errorreporting.groupMetadata.get
errorreporting.groups.list
在控制台中查看组详细信息。 最小权限加:
errorreporting.errorEvents.list
在控制台中更改元数据。更改错误的解决状态。 最小权限加:
errorreporting.groupMetadata.update
删除控制台中的错误。 最小权限加:
errorreporting.errorEvents.delete
创建错误(无需控制台权限)。 errorreporting.errorEvents.create
订阅通知。 最小权限加:
cloudnotifications.activities.list

如果要授予对 Error Reporting API 中某些方法(而非控制台)的访问权限,只需向自定义角色添加各 API 方法的权限即可。请参见此页面上的所需权限

权限

下表列出了 Error Reporting 支持的权限。

权限名称 说明
errorreporting.applications.list 列出项目的服务和版本。
errorreporting.errorEvents.create 创建或更新错误事件。
errorreporting.errorEvents.delete 删除错误事件。
errorreporting.errorEvents.list 列出错误事件。
errorreporting.groups.list 列出 ErrorGroupStats
errorreporting.groupMetadata.get 检索错误组信息。
errorreporting.groupMetadata.update 更新错误组信息,包括解决状态。

角色更改延迟时间

Error Reporting 会将 IAM 权限缓存 5 分钟,因此角色更改需要 5 分钟才能生效。

管理 IAM 政策

您可以使用 Google Cloud Platform Console、IAM API 方法或 gcloud 命令行工具来获取并设置 IAM 政策。

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Stackdriver Error Reporting 文档