En esta página, se describe cómo usar las funciones y los permisos de Identity and Access Management (IAM) para controlar el acceso a los datos de Cloud Logging en los recursos de Google Cloud.
Descripción general
Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos de registro en la API de Logging, la Explorador de registros y la herramienta de línea de comandos de gcloud.
Una función es un conjunto de permisos No puedes otorgar permisos principales directamente. En su lugar, les otorgas una función. Cuando otorgas una función a una principal, le otorgas todos los permisos que contiene esa función. Puedes otorgar varias funciones a la misma principal.
Para usar Logging dentro de un recurso de Google Cloud, como un proyecto, una carpeta, un bucket o una organización de Google Cloud, debes tener una función de IAM que contenga los permisos adecuados.
Funciones predefinidas
IAM proporciona funciones predefinidas para otorgar acceso detallado a recursos específicos de Google Cloud y evitar el acceso no deseado a otros recursos. Google Cloud crea y mantiene estas funciones y actualiza sus permisos de forma automática, según sea necesario, como cuando Logging agrega funciones nuevas.
En la siguiente tabla, se enumeran las funciones de Logging, los títulos de las funciones, sus descripciones, los permisos contenidos y el tipo de recurso de nivel más bajo en el que se pueden establecer las funciones. Se puede otorgar una función específica en este tipo de recurso o, en la mayoría de los casos, en cualquier tipo superior en la jerarquía de recursos.
Para obtener una lista de cada permiso individual contenido en una función, consulta Obtén los metadatos de la función.
| Función | Permisos |
|---|---|
|
Administrador de Logging
Proporciona todos los permisos necesarios para usar todas las funciones de Cloud Logging. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
|
Escritor de registros en bucket
Puede escribir registros en un bucket de registros. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
|
Escritor de configuración de registros
Proporciona permisos para leer y escribir las configuraciones de las métricas basadas en registros y receptores a fin de exportar registros. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
|
Descriptor de acceso de campos de registro
Puede leer los campos restringidos de un bucket de registros. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
|
Escritor de registros
Proporciona los permisos para escribir entradas de registro. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
|
Visualizador de registros privados
Proporciona los permisos de la función visor de registros y, además, brinda acceso de solo lectura para las entradas de registro en registros privados. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
|
Descriptor de acceso de vista de registros
Puede leer los registros de una vista. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
|
Visor de registros
Proporciona acceso para ver los registros. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
Consideraciones adicionales
Cuando decidas qué permisos y funciones se aplican a los casos prácticos de tus principales, ten en cuenta lo siguiente:
roles/logging.admin(Administrador de Logging) te otorga todos los permisos relacionados con Logging.roles/logging.viewer(Visor de registros) te brinda acceso de solo lectura a la mayoría de las funciones de Logging.La función de visor de registros te da acceso a la vista de registro
_AllLogsen el bucket_Requiredy a la vista de registro_Defaulten_Default. bucket.La función de visualizador de registros no te permite leer los registros de auditoría de acceso a los datos que se encuentran en el bucket de
_Default. Si deseas leer estos registros de auditoría de acceso a los datos, necesitas la función de visualizador de registros privados (roles/logging.privateLogViewer) para la vista de registro adecuada.La función de visor de registros no te permite leer los registros que se almacenan en depósitos definidos por el usuario. A fin de leer registros en depósitos definidos por el usuario, necesitas la función de acceso al visor de registros (
roles/logging.viewAccessor) para la vista de registro adecuada.roles/logging.privateLogViewer(Visor de registros privado) incluye todos los permisos que contieneroles/logging.viewer, además de la capacidad de leer registros de auditoría de acceso a los datos en el bucket de_Default.La función de visualizador de registros privados no te permite leer los registros de auditoría de acceso a los datos si se almacenan en depósitos definidos por el usuario. Para leer estos registros en los depósitos definidos por el usuario, necesitas la función de acceso a la vista de registros (
roles/logging.viewAccessor) para la vista de registro adecuada.roles/logging.viewAccessor(accesor de vista de registros) te otorga permisos para leer registros, claves de recursos y valores en una vista de registro y descargar registros. Para restringir esta función a una vista en un bucket específico, usa una condición de IAM. Consulta Lee registros de un bucket para ver un ejemplo.roles/logging.fieldAccessor(accesor al campo de registro) te otorga permisos para leer registros, claves de recursos y valores de un subconjunto de camposLogEntryde un bucket determinado, incluidos los depósitos definidos por el usuario. Consulta Control de acceso a nivel de campo para obtener más detalles.Se puede otorgar
roles/logging.logWriter(escritor de registros) a las cuentas de servicio a fin de otorgar a las aplicaciones los permisos suficientes para escribir registros. Esta función no otorga permisos de lectura.roles/logging.bucketWriter(escritor de bucket s de registros) se puede otorgar a las cuentas de servicio a fin de que Cloud Logging tenga los permisos suficientes para escribir registros en un bucket. Para restringir esta función a un bucket específico, usa una condición de IAM; Consulta Enruta registros de un proyecto a otro bucket en un proyecto diferente para ver un ejemplo.roles/logging.configWriter(Escritor de configuración de registros) te otorga los permisos para crear métricas, exclusiones, vistas y depósitos basados en registros y usar receptores. Si deseas usar el Explorador de registros (consola) para estas acciones, agregaroles/logging.viewer.
roles/viewer(Visualizador del proyecto) es lo mismo queroles/logging.viewer. La función te brinda acceso de solo lectura a todas las funciones de Logging, excepto ver los registros de auditoría de acceso a los datos que se encuentran en el bucket_Default.roles/editor(editor de proyectos) incluye los permisos deroles/logging.viewer, además de permisos para escribir entradas de registro, borrar registros y crear métricas basadas en registros. La función no te permite crear receptores ni leer registros de auditoría de acceso a los datos que se encuentran en el depósito_Default.roles/owner(propietario del proyecto) te da acceso completo a Logging, incluida la lectura de los registros de auditoría de acceso a datos.
Otorgando funciones
Para obtener información sobre cómo otorgar una función a un principal, consulta Otorga, cambia y revoca el acceso a los recursos.
Puedes asignar varias funciones al mismo usuario. Para obtener una lista de los permisos que contiene una función, consulta la página sobre cómo obtener los metadatos de la función.
Si intentas acceder a un recurso de Google Cloud y no tienes los permisos necesarios, comunícate con la principal que aparece como propietario del recurso.
Funciones personalizadas
A fin de crear una función personalizada con permisos de Logging, haz lo siguiente:
Para una función que otorgue permisos a la API de Logging, elige los permisos de Permisos de la API y, luego, sigue las instrucciones a fin de crear una función personalizada.
Para una función que otorga permisos con el fin de usar el Explorador de registros, elige entre los grupos de permisos enPermisos de Console y, luego, sigue las instrucciones paracrear una función personalizada ,
Para una función que otorgue permisos con el fin de usar
gcloud logging, consulta la sección Permisos de la línea de comandos en esta página y, luego, sigue las instrucciones para crear una función.
Para obtener más información sobre las funciones personalizadas, consulta Comprende las funciones personalizadas de IAM.
Permisos de la API
Los métodos de la API de Logging requieren permisos específicos de IAM. En la siguiente tabla, se muestra una lista de los permisos que necesitan los métodos de la API.
Si te interesan los registros almacenados en cuentas de facturación, carpetas y organizaciones de Google Cloud, ten en cuenta que esos recursos tienen sus propios métodos de API para logs y sinks. En lugar de repetir todos los métodos de la tabla, solo los métodos de projects se muestran de forma individual.
| Método de Logging | Permiso requerido | Tipo de recurso |
|---|---|---|
billingAccounts.logs.* |
logging.logs.* (Consulta projects.logs.*) |
cuentas de facturación |
billingAccounts.sinks.* |
logging.sinks.* (Consulta projects.sinks.*.) |
cuentas de facturación |
billingAccounts.locations.buckets.* |
logging.buckets.* (Consulta projects.locations.buckets.*.) |
cuentas de facturación |
entries.list |
logging.logEntries.list ologging.privateLogEntries.list |
proyectos, organizaciones, carpetas, cuentas de facturación |
entries.tail |
logging.logEntries.list ologging.privateLogEntries.list |
proyectos, organizaciones, carpetas, cuentas de facturación |
entries.write |
logging.logEntries.create |
proyectos, organizaciones, carpetas, cuentas de facturación |
folders.logs.* |
logging.logs.* (Consulta projects.logs.*) |
carpetas |
folders.sinks.* |
logging.sinks.* (Consulta projects.sinks.*) |
carpetas |
folders.locations.buckets.* |
logging.buckets.* (Consulta projects.locations.buckets.*) |
carpetas |
monitoredResourceDescriptors.list |
(ninguna) | (ninguna) |
organizations.logs.* |
logging.logs.* (Consulta projects.logs.*) |
organizaciones |
organizations.sinks.* |
logging.sinks.* (Consulta projects.sinks.*) |
organizaciones |
organizations.locations.buckets.* |
logging.buckets.* (Consulta projects.locations.buckets.*) |
organizaciones |
projects.exclusions.create |
logging.exclusions.create |
proyectos |
projects.exclusions.delete |
logging.exclusions.delete |
proyectos |
projects.exclusions.get |
logging.exclusions.get |
proyectos |
projects.exclusions.list |
logging.exclusions.list |
proyectos |
projects.exclusions.patch |
logging.exclusions.update |
proyectos |
projects.logs.list |
logging.logs.list |
proyectos |
projects.logs.delete |
logging.logs.delete |
proyectos |
projects.sinks.list |
logging.sinks.list |
proyectos |
projects.sinks.get |
logging.sinks.get |
proyectos |
projects.sinks.create |
logging.sinks.create |
proyectos |
projects.sinks.update |
logging.sinks.update |
proyectos |
projects.sinks.delete |
logging.sinks.delete |
proyectos |
projects.locations.buckets.list |
logging.buckets.list |
proyectos |
projects.locations.buckets.get |
logging.buckets.get |
proyectos |
projects.locations.buckets.patch |
logging.buckets.update |
proyectos |
projects.locations.buckets.create |
logging.buckets.create |
proyectos |
projects.locations.buckets.delete |
logging.buckets.delete |
proyectos |
projects.locations.buckets.undelete |
logging.buckets.undelete |
proyectos |
projects.metrics.list |
logging.logMetrics.list |
proyectos |
projects.metrics.get |
logging.logMetrics.get |
proyectos |
projects.metrics.create |
logging.logMetrics.create |
proyectos |
projects.metrics.update |
logging.logMetrics.update |
proyectos |
projects.metrics.delete |
logging.logMetrics.delete |
projects |
Permisos de Cloud Console
La siguiente tabla muestra una lista de los permisos necesarios para usar el Explorador de registros.
En la tabla, a.b.{x,y} significa a.b.x y a.b.y.
| Actividad de Console | Permisos necesarios |
|---|---|
| Acceso de solo lectura mínimo | logging.logEntries.listlogging.logs.listlogging.logServiceIndexes.listlogging.logServices.listresourcemanager.projects.get |
| Agregar la capacidad de ver los registros de auditoría de acceso a datos | Agregar logging.privateLogEntries.list |
| Agregar la habilidad para ver las métricas basadas en registros | Agregar logging.logMetrics.{list, get} |
| Agregar la capacidad de ver receptores | Agregar logging.sinks.{list, get} |
| Agregar la habilidad para ver el uso de los registros | Agregar logging.usage.get |
| Agregar la habilidad de excluir registros | Agregar logging.exclusions.{list, create, get, update, delete} |
| Agregar la capacidad de usar receptores | Agregar logging.sinks.{list, create, get, update, delete} |
| Agregar la habilidad de crear métricas basadas en registros | Agregar logging.logMetrics.{list, create, get, update, delete} |
| Agregar la capacidad de guardar consultas | Agregar logging.queries.{list, create, get, update, delete} |
| Agregar la capacidad de compartir consultas | Agregar logging.queries.share |
| Agregar la capacidad de usar consultas recientes | Agregar logging.queries.{create, list} |
Permisos de la línea de comandos
Los comandos de gcloud logging están controlados por los permisos de IAM.
Para usar uno de los comandos gcloud logging, debes tener el permiso serviceusage.services.use.
También debes tener la función de Cloud IAM correspondiente a la depósito del registro y a tu caso práctico. Para obtener más información, consulta los permisos de la interfaz de línea de comandos.
Permisos de enrutamiento de registros
A fin de obtener información sobre cómo configurar los controles de acceso cuando creas y administras receptores para enrutar los registros, consulta Configura receptores: Configura los permisos de destino.
Ten en cuenta que la administración de los filtros de exclusión está integrada en la configuración de los receptores. Todos los permisos relacionados con la administración de receptores, incluida la configuración de filtros de exclusión, se incluyen en los permisos logging.sinks.*. Cuando crees una función personalizada que incluya permisos para administrar filtros de exclusión, agrega los permisos logging.sinks.* a la función, en lugar de agregar los permisos logging.exclusions.*.
Una vez que las entradas de registro se enrutan a un destino admitido, el acceso a las copias de registro se controla por completo mediante los permisos y las funciones de IAM en los destinos: Cloud Storage, BigQuery o Pub/Sub.
Permisos de métricas basadas en registros
A continuación, se ofrece un resumen de las funciones y los permisos comunes que necesita una principal para acceder a las métricas basadas en registros:
El Escritor de configuración de registros (
roles/logging.configWriter) te permite enumerar, crear, obtener, actualizar y borrar métricas basadas en registros.Visor de registros(
roles/logging.viewer) te permite ver las métricas existentes. También puedes agregar los permisoslogging.logMetrics.getylogging.logMetrics.lista una función personalizada.Visualizador de Monitoring (
roles/monitoring.viewer) te permite leer datos de TimeSeries. También puedes agregar el permisomonitoring.timeSeries.lista una función personalizada.Administrador de Logging (
roles/logging.admin), editor del proyecto (roles/editor) y propietario del proyecto (roles/ownerte permiten crear métricas basadas en registros (logging.logMetrics.create).
Permisos de alertas basadas en registros
A continuación, se ofrece un resumen de las funciones y los permisos comunes que necesita una principal para crear y administrar alertas basadas en registros:
Administrador de Logging (
roles/logging.admin). Específicamente, una principal necesita los siguientes permisos para leer registros y administrar las reglas de notificación de Logging:logging.logs.listlogging.logEntries.listlogging.notificationRules.createlogging.notificationRules.update
Estos permisos se incluyen en la función de administrador de Logging. Si no deseas otorgar esta función, puedes hacer lo siguiente:
- Otorga las funciones de Escritor de configuración de registros (
roles/logging.configWriter) y Visualizador de registros (roles/logging.viewer). - Crea una función personalizada que incluya estos permisos. Para obtener más información, consulta la sección sobre cómo crear y administrar funciones personalizadas.
El editor de AlertPolicy de Monitoring (
roles/monitoring.alertPolicyEditor) y el editor de NotificationChannel de Monitoring (roles/monitoring.notificationChannelEditor) incluyen los permisos necesarios para administrar las alertas. Políticas y canales de notificación que usan las alertas basadas en registros:monitoring.alertPolicies.{create, delete, get, list, update}monitoring.notificationChannelDescriptors.{get, list}monitoring.notificationChannels.{create, delete, get, list, sendVerificationCode, update, verify}
Los permisos necesarios también se incluyen en las funciones de editor de Monitoring (
roles/monitoring.editor) y administrador de Monitoring (roles/monitoring.admin).Si no deseas otorgar ninguna de estas funciones, puedes crear una función personalizada e incluir los permisos en las funciones Editor de AlertPolicy de Editor y Editor de NotificationChannel de Monitoring.
- Para obtener información sobre las funciones personalizadas, consulta Crea y administra funciones personalizadas.
- Para obtener más información sobre las funciones y los permisos de Monitoring, consulta Control de acceso.
Niveles de acceso de Logging
Los permisos de acceso son el método heredado de especificar permisos para las cuentas de servicio en las instancias de VM de Compute Engine.
Los siguientes niveles de acceso aplican a la API de Logging:
| Nivel de acceso | Permisos otorgados |
|---|---|
| https://www.googleapis.com/auth/logging.read | roles/logging.viewer |
| https://www.googleapis.com/auth/logging.write | roles/logging.logWriter |
| https://www.googleapis.com/auth/logging.admin | Acceso completo a la API de Logging. |
| https://www.googleapis.com/auth/cloud-platform | Acceso completo a la API de Logging y a otras API habilitadas de Google Cloud. |
Si deseas obtener información sobre el uso de este método heredado para configurar los niveles de acceso de tus cuentas de servicio, consulta Permisos de la cuenta de servicio.