Questo documento descrive come utilizzare i ruoli e le autorizzazioni di Identity and Access Management (IAM) per controllare l'accesso ai dati dei log nell'API Logging, in Logs Explorer e nell'interfaccia a riga di comando Google Cloud.
Panoramica
Autorizzazioni IAM e roles determinano la tua capacità di accedere ai log nell'API Logging, Esplora log e Google Cloud CLI.
Un ruolo è una raccolta di autorizzazioni. Non puoi concedere direttamente autorizzazioni a un'entità, ma devi concederle un ruolo. Se concedi un ruolo a un'entità, gli concedi tutte le autorizzazioni incluse nel ruolo. Puoi concedere più ruoli alla stessa entità.
Per utilizzare Logging all'interno di una risorsa Google Cloud, ad esempio un progetto, una cartella, un bucket o un'organizzazione Google Cloud, un'entità deve avere ruolo IAM che contiene le autorizzazioni appropriate.
Ruoli predefiniti
IAM fornisce ruoli predefiniti per concedere l'accesso granulare a determinate risorse Google Cloud e impedire l'accesso indesiderato ad altre risorse. Google Cloud crea e gestisce questi ruoli e aggiorna automaticamente le relative autorizzazioni in base alle necessità, ad esempio quando Logging aggiunge nuove funzionalità.
La tabella seguente elenca i ruoli predefiniti per Logging. Per ogni ruolo, la tabella mostra il titolo, la descrizione, le autorizzazioni contenute e il tipo di risorsa di livello più basso in cui è possibile concedere i ruoli. Puoi concedere i ruoli predefiniti a livello di progetto Google Cloud oppure in nella maggior parte dei casi, qualsiasi tipo più alto gerarchia delle risorse. Per limitare il ruolo Accesso alla visualizzazione dei log a una visualizzazione dei log in un bucket, utilizza gli attributi della risorsa per le condizioni IAM.
Per visualizzare un elenco di tutte le singole autorizzazioni contenute in un ruolo, consulta Ottenere i metadati del ruolo.
Role | Permissions |
---|---|
Logging Admin( Provides all permissions necessary to use all features of Cloud Logging. Lowest-level resources where you can grant this role:
|
|
Logs Bucket Writer( Ability to write logs to a log bucket. Lowest-level resources where you can grant this role:
|
|
Logs Configuration Writer( Provides permissions to read and write the configurations of logs-based metrics and sinks for exporting logs. Lowest-level resources where you can grant this role:
|
|
Log Field Accessor( Ability to read restricted fields in a log bucket. Lowest-level resources where you can grant this role:
|
|
Log Link Accessor( Ability to see links for a bucket. |
|
Logs Writer( Provides the permissions to write log entries. Lowest-level resources where you can grant this role:
|
|
Private Logs Viewer( Provides permissions of the Logs Viewer role and in addition, provides read-only access to log entries in private logs. Lowest-level resources where you can grant this role:
|
|
SQL Alert Writer Beta( Ability to write SQL Alerts. |
|
Logs View Accessor( Ability to read logs in a view. Lowest-level resources where you can grant this role:
|
|
Logs Viewer( Provides access to view logs. Lowest-level resources where you can grant this role:
|
|
Le sezioni che seguono forniscono informazioni aggiuntive per aiutarti a decidere quali ruoli applicare ai casi d'uso delle entità.
Ruoli di logging
Per consentire a un utente di eseguire tutte le azioni in Logging, concedi il ruolo Amministratore Logging (
roles/logging.admin
).Per consentire a un utente di creare e modificare le configurazioni di logging, concedi il ruolo Writer configurazione log (
roles/logging.configWriter
). Questo ruolo ti consente di creare o modificare quanto segue:Questo ruolo non è sufficiente per creare metriche basate su log o criteri di avviso basati su log. Per informazioni sui ruoli richieste per queste attività, vedi Autorizzazioni per le metriche basate su log e Autorizzazioni per i criteri di avviso basati su log.
Consentire a un utente di leggere i log nei bucket
_Required
e_Default
oppure utilizzare le pagine Esplora log e Analisi dei log, assegna uno dei seguenti ruoli:- Per accedere a tutti i log nel bucket
_Required
e per accedere ai_Default
vista sul bucket_Default
, concedi la Ruolo Visualizzatore log (roles/logging.viewer
). - Per l'accesso a tutti i log nei bucket
_Required
e_Default
, inclusi i log di accesso ai dati, concedi il ruolo Visualizzatore log privati (roles/logging.privateLogViewer
).
- Per accedere a tutti i log nel bucket
Per consentire a un utente di leggere i log in tutte le visualizzazioni log di un progetto, concedigli il ruolo IAM
roles/logging.viewAccessor
nel progetto.Per consentire a un utente di leggere i log solo in una visualizzazione log specifica, hai due opzioni:
Crea un criterio IAM per la visualizzazione del log, quindi aggiungi un Associazione IAM a quel criterio che concede l'entità alla visualizzazione del log.
Concedi all'entità il ruolo IAM
roles/logging.viewAccessor
nel progetto che contiene la visualizzazione log, ma allega una condizione IAM per limitare la concessione alla visualizzazione log specifica.
Per informazioni sulla creazione delle visualizzazioni dei log e sulla concessione dell'accesso, consulta Configura le visualizzazioni dei log su un bucket di log.
- Per concedere a un utente l'accesso ad eventuali campi con restrizioni
LogEntry
: in un determinato bucket di log, concedi Ruolo Funzione di accesso ai campi dei log (roles/logging.fieldAccessor
). Per ulteriori informazioni, consulta la pagina sulla configurazione dell'accesso a livello di campo.
Per consentire a un utente di scrivere log utilizzando l'API Logging, concedi il ruolo Scrittore di log (
roles/logging.logWriter
). Questo ruolo non concede le autorizzazioni di visualizzazione.Per consentire all'account di servizio di una route di sink dei log a un bucket in un in un progetto Google Cloud diverso, concedi all'account di servizio Ruolo Writer bucket di log (
roles/logging.bucketWriter
). Per istruzioni su come concedere autorizzazioni a un account di servizio, consulta Impostare le autorizzazioni di destinazione.
Ruoli a livello di progetto
Per concedere l'accesso in visualizzazione alla maggior parte dei servizi Google Cloud, conceda il ruolo Visualizzatore (
roles/viewer
).Questo ruolo include tutte le autorizzazioni concesse Ruolo Visualizzatore log (
roles/logging.viewer
).Per concedere l'accesso in qualità di editor alla maggior parte dei servizi Google Cloud, conceda il ruolo Editor (
roles/editor
).Questo ruolo include tutte le autorizzazioni concesse dal ruolo Visualizzatore log (
roles/logging.viewer
) e le autorizzazioni per scrivere voci di log, eliminare log e creare metriche basate su log. Tuttavia, questo ruolo non consente agli utenti di creare leggere gli audit log di accesso ai dati che si trovano nel bucket_Default
, o leggere i log contenuti in bucket di log definiti dall'utente.Per concedere l'accesso completo alla maggior parte dei servizi Google Cloud, concedi il ruolo Proprietario (
roles/owner
).
Concessione dei ruoli in corso…
Per scoprire come concedere un ruolo a un'entità, consulta Concessione, modifica e revoca dell'accesso.
Puoi concedere più ruoli allo stesso utente. Per un elenco delle autorizzazioni contenute in un ruolo, consulta Ottenere i metadati del ruolo.
Se stai tentando di accedere a una risorsa Google Cloud e non disponi delle autorizzazioni necessarie, contatta l'entità elencata come Proprietario della risorsa.
Ruoli personalizzati
Per creare un ruolo personalizzato con autorizzazioni di Logging, procedi nel seguente modo: seguenti:
Per un ruolo che concede autorizzazioni per l'API Logging, scegli le autorizzazioni in Autorizzazioni API, quindi segui le istruzioni per creare un ruolo personalizzato.
Per un ruolo che concede le autorizzazioni per utilizzare Esplora log, scegli tra gruppi di autorizzazioni in Autorizzazioni della console, segui le istruzioni per creando un ruolo personalizzato.
Per un ruolo che concede le autorizzazioni per utilizzare
gcloud logging
, consulta le nella sezione Autorizzazioni dalla riga di comando di questa pagina, quindi segui le istruzioni per creando un ruolo personalizzato.
Per ulteriori informazioni sui ruoli personalizzati, consulta Informazioni sui ruoli personalizzati IAM.
Autorizzazioni per la console Google Cloud
La tabella seguente elenca le autorizzazioni necessarie per utilizzare Esplora log.
Nella tabella, a.b.[x,y]
indica a.b.x
e a.b.y
.
Attività della console | Autorizzazioni obbligatorie |
---|---|
Accesso di sola lettura minimo | logging.logEntries.list |
Visualizzare gli audit log di accesso ai dati | logging.privateLogEntries.list |
Visualizzare le metriche basate su log | logging.logMetrics.[list, get] |
Visualizza i sink | logging.sinks.[list, get] |
Visualizza utilizzo dei log | logging.usage.get |
Escludere i log | logging.exclusions.[list, create, get, update, delete] |
Creare e utilizzare i sink | logging.sinks.[list, create, get, update, delete] |
Creare metriche basate su log | logging.logMetrics.[list, create, get, update, delete] |
Salvare e utilizzare query private | logging.queries.usePrivate |
Salvare e utilizzare query condivise | logging.queries.[share, getShared, updateShared, deleteShared,
listShared] |
Utilizza query recenti | logging.queries.[create, list] |
Autorizzazioni per la riga di comando
I comandi gcloud logging
vengono
controllate da autorizzazioni IAM.
Per utilizzare uno dei comandi gcloud logging
, le entità devono avere
Autorizzazione serviceusage.services.use
.
Un'entità deve inoltre avere il ruolo IAM corrispondente alla risorsa del log e al caso d'uso. Per maggiori dettagli, consulta le autorizzazioni dell'interfaccia a riga di comando.
Autorizzazioni per i set di dati BigQuery collegati
Nell'elenco che segue vengono descritti i ruoli predefiniti e le autorizzazioni corrispondenti per la gestione dei set di dati BigQuery collegati:
I ruoli Amministratore logging (
roles/logging.admin
) e Autore configurazione log (roles/logging.configWriter
) contengono le seguenti autorizzazioni:logging.links.list
logging.links.create
logging.links.get
logging.links.delete
I ruoli Log Link Accessor (
roles/logging.linkViewer
), Visualizzatore log privati (roles/logging.privateLogViewer
) e Visualizzatore log (roles/logging.viewer
) contengono le seguenti autorizzazioni:logging.links.list
logging.links.get
I ruoli e le autorizzazioni elencati in precedenza si applicano solo all'utilizzo di Cloud Logging per gestire i set di dati collegati. Se utilizzi BigQuery per gestire i set di dati, potresti aver bisogno di creare ruoli e autorizzazioni. Consulta Controllo dell'accesso con IAM. per BigQuery.
Autorizzazioni per il salvataggio delle query
Questa sezione descrive i ruoli e le autorizzazioni predefinite per salvare, condividere e utilizzare le query nelle pagine Esplora log e Analisi dei log. Utilizzo di privato salvato visibili solo a te e che utilizzano query salvate con altri membri del progetto Google Cloud richiedono autorizzazioni diverse:
-
Per ottenere le autorizzazioni necessarie per leggere i dati di log per creare query, usa le query salvate private. o per elencare e ricevere query condivise, chiedi all'amministratore di concederti Ruolo IAM Visualizzatore log (
roles/logging.viewer
) nel progetto.Questo ruolo predefinito contiene le autorizzazioni necessarie per leggere i dati dei log per creare query, utilizzare query private salvate o elencare ed eseguire query condivise. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per leggere i dati dei log al fine di creare query, utilizzare query salvate private o elencare e recuperare query condivise, sono necessarie le seguenti autorizzazioni:
-
Utilizzare le query salvate private:
logging.queries.usePrivate
-
Elencare e ricevere query condivise:
-
logging.queries.listShared
-
logging.queries.getShared
-
-
Utilizzare le query salvate private:
-
Per ottenere le autorizzazioni necessarie per creare, aggiornare ed eliminare le query condivise, chiedi all'amministratore di concederti Ruolo IAM Amministratore Logging (
roles/logging.admin
) per il progetto.Questo ruolo predefinito contiene le autorizzazioni necessarie per creare, aggiornare ed eliminare le query condivise. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per creare, aggiornare ed eliminare le query condivise sono necessarie le seguenti autorizzazioni:
-
logging.queries.share
-
logging.queries.updateShared
-
logging.queries.deleteShared
-
Autorizzazioni per i log di routing
Per informazioni sull'impostazione dei controlli dell'accesso durante la creazione e la gestione dei sink eseguire il routing dei log, Imposta le autorizzazioni della destinazione.
Tieni presente che la gestione dei filtri di esclusione è integrata nella configurazione dei sink. Tutte le autorizzazioni relative alla gestione dei sink, inclusa l'impostazione dei filtri di esclusione, sono incluse nelle autorizzazioni logging.sinks.*
. Quando crei un ruolo personalizzato che include le autorizzazioni per gestire i filtri di esclusione, aggiungi al ruolo le autorizzazioni logging.sinks.*
anziché le autorizzazioni logging.exclusions.*
.
Una volta che le voci di log sono state indirizzate a una destinazione supportata, l'accesso a le copie dei log sono controllate interamente dalle autorizzazioni IAM e ruoli nelle destinazioni: Cloud Storage, BigQuery in Pub/Sub.
Autorizzazioni per le metriche basate su log
Di seguito è riportato un riepilogo dei ruoli e delle autorizzazioni comuni deve accedere alle metriche basate su log:
Writer configurazione log Il ruolo (
roles/logging.configWriter
) consente alle entità di elencare, creare, recuperare aggiornare ed eliminare le metriche basate su log.Il ruolo Visualizzatore log (
roles/logging.viewer
) contiene le autorizzazioni per visualizzare le metriche esistenti. Nello specifico, un principale necessita delle autorizzazionilogging.logMetrics.get
elogging.logMetrics.list
per visualizzare le metriche esistenti.Il ruolo Visualizzatore monitoraggio (
roles/monitoring.viewer
) contiene le autorizzazioni per leggere i dati di TimeSeries. Nello specifico, un'entità principale deve disporre dell'autorizzazionemonitoring.timeSeries.list
per leggere i dati delle serie temporali.I ruoli Amministratore Logging (
roles/logging.admin
), Editor progetto (roles/editor
) e Proprietario progetto (roles/owner
) contengono le autorizzazioni per creare metriche basate su log. In particolare, un L'entità richiede l'autorizzazionelogging.logMetrics.create
per creare basate su log.
Autorizzazioni per i criteri di avviso basati su log
Per creare e gestire i criteri di avviso basati su log, un'entità ha bisogno dei ruoli di Logging e Monitoring, autorizzazioni:
-
Per ottenere le autorizzazioni necessarie per creare criteri di avviso basati su log in Monitoraggio e per creare le regole di notifica di Log, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Monitoring AlertPolicy Editor (
roles/monitoring.alertPolicyEditor
) -
Logs Configuration Writer (
roles/logging.configWriter
)
Questi ruoli predefiniti Le autorizzazioni necessarie per creare criteri di avviso basati su log in Monitoring e per creare le regole di notifica di Logging associate. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per creare criteri di avviso basati su log in Monitoring e per creare le regole di notifica associate a Logging sono necessarie le seguenti autorizzazioni:
-
monitoring.alertPolicies.create
-
logging.notificationRules.create
-
Monitoring AlertPolicy Editor (
Se crei il criterio di avviso in Google Cloud CLI, è richiesto anche il seguente ruolo o autorizzazione:
-
Per ottenere l'autorizzazione necessaria per creare un criterio di avviso utilizzando Google Cloud CLI: chiedi all'amministratore di concederti Ruolo IAM Service Usage Consumer (
roles/serviceusage.serviceUsageConsumer
) nel progetto.Questo ruolo predefinito contiene
serviceusage.services.use
autorizzazione, che è obbligatorio creare un criterio di avviso utilizzando Google Cloud CLI.
Se il tuo progetto Google Cloud ha già canali di notifica, puoi configurare il criterio di avviso in modo da utilizzare un canale esistente senza ruoli o autorizzazioni aggiuntivi. Tuttavia, se devi creare un canale di notifica per il tuo criterio di avviso basato su log, è obbligatoria la seguente autorizzazione o il seguente ruolo:
-
Per ottenere l'autorizzazione necessaria per creare un canale di notifica per un criterio di avviso basato su log, chiedi all'amministratore di concederti il ruolo IAM Editor di NotificationChannel di monitoraggio (
roles/monitoring.notificationChannelEditor
) nel progetto.Questo ruolo predefinito contiene
monitoring.notificationChannels.create
autorizzazione, che è obbligatorio Creare un canale di notifica per un criterio di avviso basato su log.
Ambiti di accesso al logging
Gli ambiti di accesso sono il metodo legacy per specificare le autorizzazioni per gli account di servizio di istanze VM di Compute Engine.
I seguenti ambiti di accesso si applicano all'API Logging:
Ambito di accesso | Autorizzazioni concesse |
---|---|
https://www.googleapis.com/auth/logging.read | roles/logging.viewer |
https://www.googleapis.com/auth/logging.write | roles/logging.logWriter |
https://www.googleapis.com/auth/logging.admin | Accesso completo all'API Logging. |
https://www.googleapis.com/auth/cloud-platform | Accesso completo all'API Logging e a tutte le altre API Google Cloud abilitate. |
Per informazioni sull'utilizzo di questo metodo precedente per impostare i livelli di accesso degli account di servizio, consulta Autorizzazioni degli account di servizio.