Este documento descreve como usar papéis e permissões do gerenciamento de identidade e acesso (IAM) para controlar o acesso aos dados de registros na API Logging, no Explorador de registros e na CLI do Google Cloud.
Visão geral
As permissões do IAM e Os papéis determinam sua capacidade de acessar registros dados na API Logging, o Análise de registros Google Cloud CLI.
Um papel é um conjunto de permissões. Não é possível conceder uma permissão principal diretamente. em vez disso, você concede a eles um papel. Quando você faz isso, concede ao principal todas as permissões contidas no papel. É possível atribuir vários papéis ao mesmo principal.
Para usar o Logging em um recurso do Google Cloud, como um projeto, uma pasta, um bucket ou uma organização do Google Cloud, um principal precisa ter um papel do IAM que contenha as permissões apropriadas.
Papéis predefinidos
O IAM oferece papéis predefinidos para conceder acesso granular a recursos específicos do Google Cloud e evitar o acesso indesejado a outros recursos. O Google Cloud cria e mantém esses papéis e atualiza automaticamente as permissões conforme necessário, como quando o Logging adiciona novos recursos.
A tabela a seguir lista os papéis predefinidos para o Logging. Para cada função, a tabela mostra o título, a descrição, as permissões contidas e o tipo de recurso de menor nível em que as funções podem ser concedidas. É possível conceder os papéis predefinidos no nível do projeto do Google Cloud ou, na maioria dos casos, qualquer tipo acima na hierarquia de recursos. Para restringir o papel Acessador de visualização de registros a uma visualização de registro em um bucket, use atributos de recurso para condições do IAM.
Para conferir uma lista de todas as permissões individuais contidas em um papel, consulte Como receber os metadados do papel.
Role | Permissions |
---|---|
Logging Admin( Provides all permissions necessary to use all features of Cloud Logging. Lowest-level resources where you can grant this role:
|
|
Logs Bucket Writer( Ability to write logs to a log bucket. Lowest-level resources where you can grant this role:
|
|
Logs Configuration Writer( Provides permissions to read and write the configurations of logs-based metrics and sinks for exporting logs. Lowest-level resources where you can grant this role:
|
|
Log Field Accessor( Ability to read restricted fields in a log bucket. Lowest-level resources where you can grant this role:
|
|
Log Link Accessor( Ability to see links for a bucket. |
|
Logs Writer( Provides the permissions to write log entries. Lowest-level resources where you can grant this role:
|
|
Private Logs Viewer( Provides permissions of the Logs Viewer role and in addition, provides read-only access to log entries in private logs. Lowest-level resources where you can grant this role:
|
|
SQL Alert Writer Beta( Ability to write SQL Alerts. |
|
Logs View Accessor( Ability to read logs in a view. Lowest-level resources where you can grant this role:
|
|
Logs Viewer( Provides access to view logs. Lowest-level resources where you can grant this role:
|
|
As seções a seguir fornecem mais informações para ajudar você a decidir quais papéis se aplicam aos principais em diferentes casos de uso de negócios.
Papéis do Logging
Para permitir que um usuário realize todas as ações no Logging, conceda o papel de administrador do Logging (
roles/logging.admin
).Para permitir que um usuário crie e modifique configurações de geração de registros, conceda o papel de Gravador de configuração de registros (
roles/logging.configWriter
). Esse papel permite criar ou modificar qualquer um dos seguintes itens:- Coletores de registros
- Buckets de registros
- Visualizações de registro
- Conjuntos de dados vinculados
- Escopos de registro
Esse papel não é suficiente para criar métricas com base em registros ou políticas de alertas com base em registros. Para informações sobre os papéis necessários para essas tarefas, consulte Permissões para métricas com base em registros e Permissões para políticas de alertas com base em registros.
Para permitir que um usuário leia registros nos buckets
_Required
e_Default
ou use as páginas Explorador de registros e Análise de registros, conceda um dos seguintes papéis:- Para ter acesso a todos os registros no bucket
_Required
e à visualização_Default
no bucket_Default
, conceda o papel de Visualizador de registros (roles/logging.viewer
). - Para acessar todos os registros nos buckets
_Required
e_Default
, incluindo registros de acesso a dados, conceda o papel de Leitor de registros particulares (roles/logging.privateLogViewer
).
- Para ter acesso a todos os registros no bucket
Para permitir que um usuário leia registros em todas as visualizações de registro de um projeto, conceda a ele o papel de
roles/logging.viewAccessor
do IAM no projeto.Para permitir que um usuário leia apenas registros em uma visualização específica, você tem duas opções:
Crie uma política do IAM para a visualização de registros e adicione um Vinculação do IAM a essa política que concede ao principal acesso à visualização de registros.
Conceda ao principal o papel do IAM de
roles/logging.viewAccessor
no projeto que contém a visualização de registro, mas anexe uma condição do IAM para restringir a concessão à visualização de registro específica.
Para informações sobre como criar visualizações de registro e conceder acesso, consulte Configurar visualizações de registro em um bucket de registro.
- Para conceder a um usuário acesso a campos
LogEntry
restritos, se houver, em um determinado bucket de registros, conceda o papel de acessador de campo de registros (roles/logging.fieldAccessor
). Para mais informações, consulte Configurar o acesso no nível do campo.
Para permitir que um usuário grave registros usando a API Logging, conceda a função Gravador de registros (
roles/logging.logWriter
). Este papel não concede permissões de visualização.Para permitir que a conta de serviço de uma rota de sink envie registros para um bucket em outro projeto do Google Cloud, conceda à conta de serviço o papel de Gravador de bucket de registros (
roles/logging.bucketWriter
). Para instruções sobre como conceder permissões a uma conta de serviço, consulte Definir permissões de destino.
Papéis no nível do projeto
Para dar acesso de leitura à maioria dos serviços do Google Cloud, conceder o papel de Leitor (
roles/viewer
).Esse papel inclui todas as permissões concedidas pelo papel de leitor de registros (
roles/logging.viewer
).Para dar acesso de editor à maioria dos serviços do Google Cloud, conceder o papel de Editor (
roles/editor
).Esse papel inclui todas as permissões concedidas pelo papel de leitor de registros (
roles/logging.viewer
) e as permissões para gravar entradas de registro, excluir registros e criar métricas com base em registros. No entanto, esse papel não permite que os usuários criem coletores, leiam registros de auditoria de acesso a dados que estejam no bucket_Default
ou leiam registros que estejam em buckets de registro definidos pelo usuário.Para conceder acesso total à maioria dos serviços do Google Cloud, conceder o papel de Proprietário (
roles/owner
).
Concedendo papéis
Para saber como conceder um papel a um principal, consulte Como conceder, alterar e revogar acesso.
É possível atribuir vários papéis ao mesmo usuário. Para ver uma lista das permissões contidas em um papel, consulte Como receber os metadados do papel.
Se você está tentando acessar um recurso do Google Cloud e não tem as informações permissões, entre em contato com o principal que está listado como Proprietário do recurso.
Papéis personalizados
Para criar um papel personalizado com as permissões do Logging, siga estas etapas:
Para um papel que conceda permissões para a API Logging, escolha as permissões de permissões da API e siga as instruções para criar um papel personalizado.
Para um papel que conceda permissões para usar o Explorador de registros, escolha entre os grupos de permissões em Permissões do console e siga as instruções para criar um papel personalizado.
Para um papel que concede permissões para usar
gcloud logging
, consulte a seção Permissões de linha de comando nesta página e siga as instruções para criar um personalizado papel.
Para mais informações sobre papéis personalizados, consulte Noções básicas sobre papéis personalizados do IAM.
Permissões do Cloud Logging
A tabela a seguir é uma lista parcial das permissões necessárias para uma API e os recursos do Cloud Logging. Esta tabela pode ajudar a identificar as permissões necessárias para usar páginas como o Logs Explorer.
Na tabela, a.b.[x,y]
significa a.b.x
e a.b.y
.
Atividade do console | Permissões necessárias |
---|---|
Acesso mínimo somente de leitura | logging.logEntries.list |
Acessar registros de auditoria de acesso a dados | logging.privateLogEntries.list |
Conferir as métricas com base em registros | logging.logMetrics.[list, get] |
Mostrar coletores | logging.sinks.[list, get] |
Conferir o uso de registros | logging.usage.get |
Excluir registros | logging.exclusions.[list, create, get, update, delete]
Ao criar um papel personalizado que inclua permissões para
gerenciar filtros de exclusão, adicione as permissões |
Criar e usar coletores | logging.sinks.[list, create, get, update, delete]
Ao criar um coletor, você também precisa conceder à conta de serviço um papel do IAM que permita gravar entradas de registro no destino. Para mais informações, consulte Defina permissões de destino. Depois que suas entradas de registro forem roteadas para um destino compatível, o acesso às entradas de registro será controlado totalmente pelas permissões e papéis do IAM no destino. |
Criar alertas baseados em registros | Consulte Funções necessárias para criar e usar políticas de alertas com base em registros. |
Criar métricas com base em registros | logging.logMetrics.[list, create, get, update, delete]
Para informações sobre outros papéis do IAM que você precisa para criar e usar métricas com base em registros, consulte Papéis necessários para criar e usar métricas com base em registros. |
Salvar e usar consultas particulares | logging.queries.usePrivate logging.queries.[listShared,getShared] |
Salvar e usar consultas compartilhadas | logging.queries.[share, getShared, updateShared, deleteShared,
listShared] |
Usar consultas recentes | logging.queries.[create, list] |
Permissões para a linha de comando
Os comandos gcloud logging
são
controlados pelas permissões do IAM.
Para usar qualquer um dos comandos gcloud logging
, os principais precisam ter o
serviceusage.services.use
.
Um principal também precisa ter o papel do IAM que corresponde ao recurso do registro e ao caso de uso. Para mais detalhes, consulte permissões da interface de linha de comando.
Papéis necessários para criar e usar métricas com base em registros
Veja a seguir um resumo das permissões e dos papéis comuns necessários ao principal para acessar métricas com base em registros:
O Gravador de configuração de registros (
roles/logging.configWriter
) permite que os principais listem, criem, recebam atualizar e excluir métricas com base em registros.O papel de Visualizador de registros (
roles/logging.viewer
) contém permissões para visualizar as métricas atuais. Especificamente, um principal precisa das permissõeslogging.logMetrics.get
elogging.logMetrics.list
. para visualizar as métricas existentes.O Leitor do Monitoring (
roles/monitoring.viewer
) contém as permissões para ler TimeSeries. Especificamente, um principal precisa das Permissãomonitoring.timeSeries.list
para ler dados de série temporal.Os papéis de Administrador do Logging (
roles/logging.admin
), Editor do projeto (roles/editor
) e Proprietário do projeto (roles/owner
) têm as permissões para criar métricas com base em registros. Especificamente, um princípio precisa da permissãologging.logMetrics.create
para criar métricas baseadas em registros.
Papéis necessários para criar e usar políticas de alertas com base em registros
Para criar e gerenciar políticas de alertas com base em registros, um principal precisa do os seguintes papéis do Logging e do Monitoring :
-
Para ter as permissões necessárias para criar políticas de alertas com base em registros no Monitoring e criar as regras de notificação associadas ao Logging, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Editor de AlertPolicy do Monitoring (
roles/monitoring.alertPolicyEditor
) -
Gravador de configuração de registros (
roles/logging.configWriter
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para criar políticas de alerta com base em registros no Monitoring e criar as regras de notificação de registro associadas. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para criar políticas de alertas com base em registros no Monitoring e para criar as regras de notificação associadas ao Logging:
-
monitoring.alertPolicies.create
-
logging.notificationRules.create
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
-
Editor de AlertPolicy do Monitoring (
Se você criar uma política de alertas na Google Cloud CLI, os eventos um papel ou uma permissão também é necessário:
-
Para ter a permissão necessária para criar uma política de alertas usando a Google Cloud CLI, peça ao administrador para conceder a você Consumidor do Service Usage (
roles/serviceusage.serviceUsageConsumer
) no seu projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.Esse papel predefinido contém
serviceusage.services.use
permissão, que é necessário para criar uma política de alertas usando a Google Cloud CLI.Também é possível conseguir essa permissão com papéis personalizados ou outros papéis predefinidos.
Caso seu projeto do Google Cloud já tenha canais de notificação, será possível configure sua política de alertas para usar um canal atual sem nenhum outros papéis ou permissões. No entanto, se você precisar criar um canal de notificação para a política de alertas baseada em registros, será necessário ter o seguinte papel ou permissão:
-
Para ter a permissão necessária para criar um canal de notificação para uma política de alertas com base em registros, peça ao administrador para conceder a você Papel do IAM Editor do canal de notificação do Monitoring (
roles/monitoring.notificationChannelEditor
) no projeto.Esse papel predefinido contém
monitoring.notificationChannels.create
permissão, que é necessário para criar um canal de notificação para uma política de alertas com base em registros;
Escopos de acesso do Logging
Escopos de acesso são o método legado de especificar permissões para as contas de serviço nas instâncias da VM do Compute Engine.
Os seguintes escopos de acesso se aplicam à API Logging:
Escopo de acesso | Permissões concedidas |
---|---|
https://www.googleapis.com/auth/logging.read | roles/logging.viewer |
https://www.googleapis.com/auth/logging.write | roles/logging.logWriter |
https://www.googleapis.com/auth/logging.admin | Acesso total à API Logging. |
https://www.googleapis.com/auth/cloud-platform | Acesso total à API Logging e a todas as outras APIs do Google Cloud ativadas. |
Para informações sobre como usar esse método legado para definir os níveis de acesso das suas contas de serviço, consulte Permissões da conta de serviço.