Zugriffssteuerung mit IAM

In diesem Dokument wird beschrieben, wie Sie IAM-Rollen und -Berechtigungen (Identity and Access Management) verwenden, um den Zugriff auf Protokolldaten in der Logging API, dem Log-Explorer und der Google Cloud CLI zu steuern.

Übersicht

IAM-Berechtigungen und Mit Rollen wird festgelegt, ob Sie auf Logs zugreifen können. in der Logging API verwendet, Log-Explorer und die Google Cloud CLI

Eine Rolle ist eine Sammlung von Berechtigungen. Sie können einem Hauptkonto Berechtigungen nicht direkt erteilen. Stattdessen weisen Sie ihm eine Rolle zu. Wenn Sie einem Hauptkonto eine Rolle zuweisen, erhält er alle mit ihr verknüpften Berechtigungen. Einem Hauptkonto können mehrere Rollen zugewiesen werden.

Wenn Sie Logging innerhalb einer Google Cloud-Ressource wie einem Google Cloud-Projekt, -Ordner, -Bucket oder einer -Organisation verwenden möchten, muss ein Prinzipal eine IAM-Rolle mit den entsprechenden Berechtigungen haben.

Vordefinierte Rollen

IAM bietet vordefinierte Rollen, um detaillierten Zugriff auf Google Cloud-Ressourcen und verhindern unerwünschten Zugriff auf andere Ressourcen. Google Cloud erstellt und verwaltet diese Rollen und bei Bedarf aktualisiert, z. B. wenn Logging neuen Funktionen.

In der folgenden Tabelle sind die vordefinierten Rollen für die Protokollierung aufgeführt. Für jede Rolle werden in der Tabelle der Rollentitel, die Beschreibung, die enthaltenen Berechtigungen und der Ressourcentyp der untersten Ebene angezeigt, für den die Rollen gewährt werden können. Sie können die vordefinierten Rollen auf Google Cloud-Projektebene oder in in den meisten Fällen Ressourcenhierarchie. Wenn Sie die Rolle „Zugriffsberechtigter für Protokollansicht“ auf eine Protokollansicht in einem Bucket beschränken möchten, verwenden Sie Ressourcenattribute für IAM-Bedingungen.

Eine Liste aller einzelnen Berechtigungen, die in einer Rolle enthalten sind, finden Sie unter Rollenmetadaten abrufen.

Role Permissions

(roles/logging.admin)

Provides all permissions necessary to use all features of Cloud Logging.

Lowest-level resources where you can grant this role:

  • Project

logging.buckets.copyLogEntries

logging.buckets.create

logging.buckets.createTagBinding

logging.buckets.delete

logging.buckets.deleteTagBinding

logging.buckets.get

logging.buckets.list

logging.buckets.listEffectiveTags

logging.buckets.listTagBindings

logging.buckets.undelete

logging.buckets.update

logging.exclusions.*

  • logging.exclusions.create
  • logging.exclusions.delete
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.exclusions.update

logging.fields.access

logging.links.*

  • logging.links.create
  • logging.links.delete
  • logging.links.get
  • logging.links.list

logging.locations.*

  • logging.locations.get
  • logging.locations.list

logging.logEntries.*

  • logging.logEntries.create
  • logging.logEntries.download
  • logging.logEntries.list
  • logging.logEntries.route

logging.logMetrics.*

  • logging.logMetrics.create
  • logging.logMetrics.delete
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logMetrics.update

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.*

  • logging.logs.delete
  • logging.logs.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

logging.operations.*

  • logging.operations.cancel
  • logging.operations.get
  • logging.operations.list

logging.privateLogEntries.list

logging.queries.*

  • logging.queries.deleteShared
  • logging.queries.getShared
  • logging.queries.listShared
  • logging.queries.share
  • logging.queries.updateShared
  • logging.queries.usePrivate

logging.settings.*

  • logging.settings.get
  • logging.settings.update

logging.sinks.*

  • logging.sinks.create
  • logging.sinks.delete
  • logging.sinks.get
  • logging.sinks.list
  • logging.sinks.update

logging.usage.get

logging.views.*

  • logging.views.access
  • logging.views.create
  • logging.views.delete
  • logging.views.get
  • logging.views.getIamPolicy
  • logging.views.list
  • logging.views.listLogs
  • logging.views.listResourceKeys
  • logging.views.listResourceValues
  • logging.views.setIamPolicy
  • logging.views.update

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/logging.bucketWriter)

Ability to write logs to a log bucket.

Lowest-level resources where you can grant this role:

  • Project

logging.buckets.write

(roles/logging.configWriter)

Provides permissions to read and write the configurations of logs-based metrics and sinks for exporting logs.

Lowest-level resources where you can grant this role:

  • Project

logging.buckets.create

logging.buckets.createTagBinding

logging.buckets.delete

logging.buckets.deleteTagBinding

logging.buckets.get

logging.buckets.list

logging.buckets.listEffectiveTags

logging.buckets.listTagBindings

logging.buckets.undelete

logging.buckets.update

logging.exclusions.*

  • logging.exclusions.create
  • logging.exclusions.delete
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.exclusions.update

logging.links.*

  • logging.links.create
  • logging.links.delete
  • logging.links.get
  • logging.links.list

logging.locations.*

  • logging.locations.get
  • logging.locations.list

logging.logMetrics.*

  • logging.logMetrics.create
  • logging.logMetrics.delete
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logMetrics.update

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

logging.operations.*

  • logging.operations.cancel
  • logging.operations.get
  • logging.operations.list

logging.settings.*

  • logging.settings.get
  • logging.settings.update

logging.sinks.*

  • logging.sinks.create
  • logging.sinks.delete
  • logging.sinks.get
  • logging.sinks.list
  • logging.sinks.update

logging.views.create

logging.views.delete

logging.views.get

logging.views.getIamPolicy

logging.views.list

logging.views.update

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/logging.fieldAccessor)

Ability to read restricted fields in a log bucket.

Lowest-level resources where you can grant this role:

  • Project

logging.fields.access

(roles/logging.linkViewer)

Ability to see links for a bucket.

logging.links.get

logging.links.list

(roles/logging.logWriter)

Provides the permissions to write log entries.

Lowest-level resources where you can grant this role:

  • Project

logging.logEntries.create

logging.logEntries.route

(roles/logging.privateLogViewer)

Provides permissions of the Logs Viewer role and in addition, provides read-only access to log entries in private logs.

Lowest-level resources where you can grant this role:

  • Project

logging.buckets.get

logging.buckets.list

logging.exclusions.get

logging.exclusions.list

logging.links.get

logging.links.list

logging.locations.*

  • logging.locations.get
  • logging.locations.list

logging.logEntries.list

logging.logMetrics.get

logging.logMetrics.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

logging.queries.getShared

logging.queries.listShared

logging.queries.usePrivate

logging.sinks.get

logging.sinks.list

logging.usage.get

logging.views.access

logging.views.get

logging.views.list

observability.scopes.get

resourcemanager.projects.get

(roles/logging.viewAccessor)

Ability to read logs in a view.

Lowest-level resources where you can grant this role:

  • Project

logging.logEntries.download

logging.views.access

logging.views.listLogs

logging.views.listResourceKeys

logging.views.listResourceValues

(roles/logging.viewer)

Provides access to view logs.

Lowest-level resources where you can grant this role:

  • Project

logging.buckets.get

logging.buckets.list

logging.exclusions.get

logging.exclusions.list

logging.links.get

logging.links.list

logging.locations.*

  • logging.locations.get
  • logging.locations.list

logging.logEntries.list

logging.logMetrics.get

logging.logMetrics.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.operations.get

logging.operations.list

logging.queries.getShared

logging.queries.listShared

logging.queries.usePrivate

logging.sinks.get

logging.sinks.list

logging.usage.get

logging.views.get

logging.views.list

observability.scopes.get

resourcemanager.projects.get

In den folgenden Abschnitten finden Sie weitere Informationen, die Ihnen bei der Entscheidung helfen, welche Rollen für die Anwendungsfälle Ihrer Hauptkonten gelten.

Loggingrollen

  • Wenn ein Nutzer alle Aktionen in Logging ausführen soll, weisen Sie ihm die Rolle „Logging-Administrator“ (roles/logging.admin) zu.

  • Wenn ein Nutzer Logging-Konfigurationen erstellen und ändern soll, weisen Sie ihm die Rolle „Autor von Logkonfigurationen“ (roles/logging.configWriter) zu. Mit dieser Rolle können Sie Folgendes erstellen oder ändern:

    Diese Rolle reicht nicht aus, um logbasierte Messwerte zu erstellen. logbasierte Benachrichtigungsrichtlinien. Informationen zu den für diese Aufgaben erforderlichen Rollen finden Sie unter Berechtigungen für logbasierte Messwerte und Berechtigungen für logbasierte Benachrichtigungsrichtlinien.

  • Wenn ein Nutzer Logs in den Buckets _Required und _Default lesen oder die Seiten Log-Explorer und Log Analytics verwenden soll, weisen Sie ihm eine der folgenden Rollen zu:

    • Für den Zugriff auf alle Logs im Bucket _Required und den Zugriff auf die _Default-Ansicht für den _Default-Bucket, gewähren Sie den Loganzeige (roles/logging.viewer)
    • Für den Zugriff auf alle Logs in den Buckets _Required und _Default: einschließlich Datenzugriffs-Logs, Gewähren Sie die Rolle „Betrachter privater Logs“ (roles/logging.privateLogViewer).

  • Damit ein Nutzer Logs in allen Logansichten eines Projekts lesen kann, müssen Sie diese Berechtigungen erteilen die IAM-Rolle roles/logging.viewAccessor für das Projekt

  • Wenn Sie einem Nutzer nur das Lesen von Logs in einer bestimmten Protokollansicht erlauben möchten, haben Sie zwei Möglichkeiten:

    • Erstellen Sie eine IAM-Richtlinie für die Protokollansicht und fügen Sie dieser Richtlinie eine IAM-Bindung hinzu, die dem Hauptkonto Zugriff auf die Protokollansicht gewährt.

    • Dem Hauptkonto die IAM-Rolle gewähren von roles/logging.viewAccessor für das Projekt, das die Logansicht enthält aber hängen Sie eine IAM-Bedingung für Die Erteilung wird auf die jeweilige Logansicht beschränkt.

    Informationen zum Erstellen von Log-Ansichten und zum Gewähren von Zugriff finden Sie unter Log-Ansichten für einen Log-Bucket konfigurieren.

  • Wenn Sie einem Nutzer Zugriff auf eingeschränkte LogEntry-Felder in einem bestimmten Log-Bucket gewähren möchten, weisen Sie ihm die Rolle „Zugriffsberechtigter für Logs-Feld“ (roles/logging.fieldAccessor) zu. Weitere Informationen finden Sie unter Zugriff auf Feldebene konfigurieren

  • Wenn ein Nutzer Logs mit der Logging API schreiben soll, gewähren Sie ihm die Rolle „Log-Autor“ (roles/logging.logWriter). Diese Rolle gewährt keine Berechtigungen zum Betrachten.

  • Damit das Dienstkonto einer Senke Logs an einen Bucket in einem Google Cloud-Projekt zu verknüpfen, gewähren Sie dem Dienstkonto die Rolle "Log-Bucket-Autor" (roles/logging.bucketWriter). Eine Anleitung zum Erteilen von Berechtigungen für ein Dienstkonto finden Sie unter Zielberechtigungen festlegen.

Rollen auf Projektebene

  • Wenn Sie Nutzern Lesezugriff auf die meisten Google Cloud-Dienste gewähren möchten, weisen Sie ihnen die Rolle „Betrachter“ (roles/viewer) zu.

    Diese Rolle enthält alle Berechtigungen, die vom Rolle "Loganzeige (roles/logging.viewer)".

  • Wenn Sie Nutzern Bearbeitungszugriff auf die meisten Google Cloud-Dienste gewähren möchten, weisen Sie ihnen die Rolle „Bearbeiter“ (roles/editor) zu.

    Diese Rolle umfasst alle Berechtigungen der Rolle „Loganzeige“ (roles/logging.viewer) sowie Berechtigungen zum Schreiben von Logeinträgen, zum Löschen von Logs und zum Erstellen logbasierter Messwerte. Mit dieser Rolle können Nutzer jedoch keine Senken erstellen, Audit-Logs zum Datenzugriff im Bucket _Default lesen oder Logs in benutzerdefinierten Log-Buckets lesen.

  • Wenn Sie der Person vollen Zugriff auf die meisten Google Cloud-Dienste gewähren möchten, weisen Sie ihr die Rolle „Inhaber“ (roles/owner) zu.

Rollen werden gewährt

Informationen zum Zuweisen von Rollen an Hauptkonten finden Sie unter Zugriff erteilen, ändern und entziehen.

Einem Nutzer können mehrere Rollen zugewiesen werden. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

Wenn Sie versuchen, auf eine Google Cloud-Ressource zuzugreifen und nicht die erforderlichen Berechtigungen haben, wenden Sie sich an den Hauptkonto, der als Inhaber der Ressource aufgeführt ist.

Benutzerdefinierte Rollen

So erstellen Sie eine benutzerdefinierte Rolle mit Logging-Berechtigungen:

Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Informationen zu benutzerdefinierten IAM-Rollen

Berechtigungen für die Google Cloud Console

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für die Verwendung des Log-Explorers erforderlich sind.

a.b.[x,y] bedeutet in der Tabelle a.b.x und a.b.y.

Console-Aktivität Erforderliche Berechtigung
Minimaler Lesezugriff logging.logEntries.list
logging.logs.list
logging.logServiceIndexes.list
logging.logServices.list
resourcemanager.projects.get
Audit-Logs zum Datenzugriff ansehen logging.privateLogEntries.list
Logbasierte Messwerte aufrufen logging.logMetrics.[list, get]
Waschbecken anzeigen logging.sinks.[list, get]
Protokollnutzung ansehen logging.usage.get
Logs ausschließen logging.exclusions.[list, create, get, update, delete]
Senken erstellen und verwenden logging.sinks.[list, create, get, update, delete]
Logbasierte Messwerte erstellen logging.logMetrics.[list, create, get, update, delete]
Private Abfragen speichern und verwenden logging.queries.usePrivate
Freigegebene Abfragen speichern und verwenden logging.queries.[share, getShared, updateShared, deleteShared, listShared]
Letzte Abfragen verwenden logging.queries.[create, list]

Berechtigungen für die Befehlszeile

gcloud logging-Befehle werden durch IAM-Berechtigungen gesteuert.

Um einen der gcloud logging-Befehle zu verwenden, benötigen die Hauptbenutzer die Berechtigung serviceusage.services.use.

Ein Hauptkonto muss auch die IAM-Rolle haben, die der Log-Ressource und dem Anwendungsfall. Weitere Informationen finden Sie unter Berechtigungen für die Befehlszeile.

In der folgenden Liste werden die vordefinierten Rollen und zugehörigen Berechtigungen beschrieben. zur Verwaltung verknüpfter BigQuery-Datasets:

Die zuvor aufgeführten Rollen und Berechtigungen gelten nur für die Verwendung von Cloud Logging zum Verwalten Ihrer verknüpften Datasets. Mit BigQuery zur Verwaltung von Datasets benötigen, benötigen Sie möglicherweise separate Rollen und Berechtigungen. Weitere Informationen finden Sie unter Zugriffssteuerung mit IAM für BigQuery.

Berechtigungen zum Speichern von Abfragen

In diesem Abschnitt werden die vordefinierten Rollen und Berechtigungen zum Speichern, Freigeben und Verwenden von Abfragen auf den Seiten Log-Explorer und Log Analytics beschrieben. Für die Verwendung privater gespeicherter Abfragen, die nur für Sie sichtbar sind, und für die Verwendung gespeicherter Abfragen, die für andere Mitglieder des Google Cloud-Projekts freigegeben sind, sind unterschiedliche Berechtigungen erforderlich:

  • Um die Berechtigungen zu erhalten, die Sie zum Lesen von Logdaten zum Erstellen von Abfragen benötigen, verwenden Sie privat gespeicherte Abfragen, um freigegebene Abfragen aufzulisten und zu erhalten, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Logbetrachter (roles/logging.viewer) für Ihr Projekt.

    Diese vordefinierte Rolle enthält Berechtigungen zum Lesen von Logdaten, zum Erstellen von Abfragen, oder freigegebene Abfragen auflisten und abrufen. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

    Erforderliche Berechtigungen

    Die folgenden Berechtigungen sind erforderlich, um Protokolldaten zu lesen, Abfragen zu erstellen, private gespeicherte Abfragen zu verwenden oder freigegebene Abfragen aufzulisten und abzurufen:

    • Privat gespeicherte Abfragen verwenden: logging.queries.usePrivate
    • Freigegebene Abfragen auflisten und abrufen:
      • logging.queries.listShared
      • logging.queries.getShared

  • Um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aktualisieren und Löschen freigegebener Abfragen benötigen, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Logging Admin (roles/logging.admin) für Ihr Projekt

    Diese vordefinierte Rolle enthält Berechtigungen zum Erstellen, Aktualisieren und Löschen freigegebener Abfragen Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

    Erforderliche Berechtigungen

    Zum Erstellen, Aktualisieren und Löschen freigegebener Abfragen sind die folgenden Berechtigungen erforderlich:

    • logging.queries.share
    • logging.queries.updateShared
    • logging.queries.deleteShared

Berechtigungen für Routinglogs

Informationen zum Festlegen von Zugriffssteuerungen beim Erstellen und Verwalten von Senken zum Weiterleiten von Protokollen, siehe Legen Sie Zielberechtigungen fest.

Die Verwaltung von Ausschlussfiltern ist in die Konfiguration von Senken integriert. Alle Berechtigungen im Zusammenhang mit der Verwaltung von Senken, einschließlich der Einstellung von Ausschlussfiltern, sind in den logging.sinks.*-Berechtigungen enthalten. Wenn Sie eine benutzerdefinierte Rolle erstellen, die Berechtigungen zum Verwalten von Ausschlussfiltern enthält, fügen Sie der Rolle die Berechtigungen logging.sinks.* und nicht die Berechtigungen logging.exclusions.* hinzu.

Nachdem Ihre Logeinträge an ein unterstütztes Ziel weitergeleitet wurden, wird der Zugriff auf die Logkopien vollständig durch IAM-Berechtigungen und -Rollen für die Ziele gesteuert – Cloud Storage, BigQuery oder Pub/Sub.

Berechtigungen für logbasierte Messwerte

Es folgt eine Zusammenfassung der allgemeinen Rollen und Berechtigungen, die ein Hauptkonto benötigt, um auf logbasierte Messwerte zuzugreifen:

  • Autor von Logkonfigurationen (roles/logging.configWriter) kann Hauptkonten auflisten, erstellen, abrufen, Logbasierte Messwerte aktualisieren und löschen.

  • Die Rolle Log-Betrachter (roles/logging.viewer) umfasst Berechtigungen zum Aufrufen vorhandener Messwerte. Konkret muss ein Direktor benötigt die Berechtigungen logging.logMetrics.get und logging.logMetrics.list um vorhandene Messwerte zu sehen.

  • Monitoring-Betrachter Rolle (roles/monitoring.viewer) enthält Leseberechtigungen TimeSeries-Daten. Insbesondere benötigt ein Auftraggeber monitoring.timeSeries.list-Berechtigung zum Lesen von Zeitreihendaten.

  • Die Rollen Logging-Administrator (roles/logging.admin), Projektbearbeiter (roles/editor) und Projektinhaber (roles/owner) enthalten die Berechtigungen zum Erstellen von logbasierten Messwerten. Insbesondere benötigt ein Nutzer die Berechtigung logging.logMetrics.create, um protokollbasierte Messwerte zu erstellen.

Berechtigungen für logbasierte Benachrichtigungsrichtlinien

Zum Erstellen und Verwalten von logbasierten Benachrichtigungsrichtlinien benötigt ein Nutzer die folgenden Rollen und Berechtigungen für Logging und Monitoring:

  • Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von protokollbasierten Benachrichtigungsrichtlinien in der Überwachung und zum Erstellen der zugehörigen Protokollierungsregeln benötigen:

    Diese vordefinierten Rollen enthalten Die Berechtigungen, die zum Erstellen logbasierter Benachrichtigungsrichtlinien in Monitoring und zum Erstellen der zugehörigen Benachrichtigungsregeln in Logging erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

    Erforderliche Berechtigungen

    Die folgenden Berechtigungen sind erforderlich, um logbasierte Benachrichtigungsrichtlinien in Monitoring und die zugehörigen Benachrichtigungsregeln für Logging zu erstellen:

    • monitoring.alertPolicies.create
    • logging.notificationRules.create

Wenn Sie die Benachrichtigungsrichtlinie in der Google Cloud CLI erstellen, ist außerdem die folgende Rolle oder Berechtigung erforderlich:

  • Um die Berechtigung zu erhalten, die Sie zum Erstellen einer Benachrichtigungsrichtlinie mithilfe der Google Cloud CLI benötigen, bitten Sie Ihren Administrator, Ihnen Die IAM-Rolle Service Usage-Nutzer (roles/serviceusage.serviceUsageConsumer) für Ihr Projekt.

    Diese vordefinierte Rolle enthält die serviceusage.services.use Berechtigung, was erforderlich ist, um eine Benachrichtigungsrichtlinie mit der Google Cloud CLI erstellen

Wenn Ihr Google Cloud-Projekt bereits Benachrichtigungskanäle hat, können Sie Ihre Benachrichtigungsrichtlinie so konfigurieren, dass ein vorhandener Kanal ohne zusätzliche Rollen oder Berechtigungen verwendet wird. Wenn Sie jedoch einen Benachrichtigungskanal für Logbasierte Benachrichtigungsrichtlinie festlegen, ist die folgende Rolle oder Berechtigung erforderlich:

  • Um die Berechtigung zu erhalten, die Sie zum Erstellen eines Benachrichtigungskanals für eine logbasierte Benachrichtigungsrichtlinie benötigen, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Bearbeiter von Monitoring-Benachrichtigungskanälen (roles/monitoring.notificationChannelEditor) für Ihr Projekt.

    Diese vordefinierte Rolle enthält die monitoring.notificationChannels.create Berechtigung, was erforderlich ist, um Erstellen Sie einen Benachrichtigungskanal für eine logbasierte Benachrichtigungsrichtlinie.

Zugriffsbereiche in Logging

Zugriffsbereiche sind die Legacy-Methode zum Festlegen von Berechtigungen für die Dienstkonten in Ihren Compute Engine-VM-Instanzen.

Für die Logging API gelten folgende Zugriffsbereiche:

Zugriffsbereich Erteilte Berechtigungen
https://www.googleapis.com/auth/logging.read roles/logging.viewer
https://www.googleapis.com/auth/logging.write roles/logging.logWriter
https://www.googleapis.com/auth/logging.admin Uneingeschränkter Zugriff auf die Logging API
https://www.googleapis.com/auth/cloud-platform Uneingeschränkter Zugriff auf die Logging API sowie alle anderen aktivierten Google Cloud APIs

Informationen zur Verwendung dieser alten Methode zum Festlegen der Zugriffsebenen Ihrer Dienstkonten finden Sie unter Berechtigungen für Dienstkonten.