Controle de acesso com o IAM

Neste documento, descrevemos como usar os papéis e as permissões do Identity and Access Management (IAM) para controlar o acesso a dados de registros na API Logging, na Análise de registros e na Google Cloud CLI.

Visão geral

As permissões e papéis do IAM determinam sua capacidade de acessar dados de registros na API Logging, na Análise de registros e na Google Cloud CLI.

Um papel é um conjunto de permissões. Não é possível conceder uma permissão principal diretamente. em vez disso, você concede a eles um papel. Quando você faz isso, concede ao principal todas as permissões contidas no papel. É possível atribuir vários papéis ao mesmo principal.

Para usar o Logging em um recurso do Google Cloud, como um projeto, uma pasta, um bucket ou uma organização do Google Cloud, um principal precisa ter um papel do IAM que contenha as permissões apropriadas.

Papéis predefinidos

O IAM fornece papéis predefinidos para conceder acesso granular a recursos específicos do Google Cloud e impedir o acesso indesejado a outros recursos. O Google Cloud cria e mantém esses papéis e atualiza automaticamente as permissões conforme necessário, como quando o Logging adiciona novos recursos.

A tabela a seguir lista os papéis predefinidos do Logging. Para cada papel, a tabela exibe o título, a descrição, as permissões contidas e o tipo de recurso de nível mais baixo em que os papéis podem ser concedidos. É possível conceder os papéis predefinidos no nível do projeto do Google Cloud ou, na maioria dos casos, qualquer tipo mais alto na hierarquia do Google Cloud. Para definir o escopo do papel de Acessador de visualização de registros de maneira mais restrita no nível do bucket, use atributos de recurso para condições do IAM.

Para consultar uma lista de todas as permissões individuais contidas em um papel, consulte Como conseguir os metadados do papel.

Role Permissions

Role	Permissions
Logging Admin (`roles/logging.admin`) Provides all permissions necessary to use all features of Cloud Logging. Lowest-level resources where you can grant this role: Project	`logging.buckets.copyLogEntries` `logging.buckets.create` `logging.buckets.delete` `logging.buckets.get` `logging.buckets.list` `logging.buckets.undelete` `logging.buckets.update` `logging.exclusions.` `logging.exclusions.create` `logging.exclusions.delete` `logging.exclusions.get` `logging.exclusions.list` `logging.exclusions.update` `logging.fields.access` `logging.links.` `logging.links.create` `logging.links.delete` `logging.links.get` `logging.links.list` `logging.locations.` `logging.locations.get` `logging.locations.list` `logging.logEntries.` `logging.logEntries.create` `logging.logEntries.download` `logging.logEntries.list` `logging.logEntries.route` `logging.logMetrics.` `logging.logMetrics.create` `logging.logMetrics.delete` `logging.logMetrics.get` `logging.logMetrics.list` `logging.logMetrics.update` `logging.logServiceIndexes.list` `logging.logServices.list` `logging.logs.` `logging.logs.delete` `logging.logs.list` `logging.notificationRules.` `logging.notificationRules.create` `logging.notificationRules.delete` `logging.notificationRules.get` `logging.notificationRules.list` `logging.notificationRules.update` `logging.operations.` `logging.operations.cancel` `logging.operations.get` `logging.operations.list` `logging.privateLogEntries.list` `logging.queries.` `logging.queries.create` `logging.queries.delete` `logging.queries.get` `logging.queries.list` `logging.queries.listShared` `logging.queries.share` `logging.queries.update` `logging.queries.updateShared` `logging.settings.` `logging.settings.get` `logging.settings.update` `logging.sinks.` `logging.sinks.create` `logging.sinks.delete` `logging.sinks.get` `logging.sinks.list` `logging.sinks.update` `logging.usage.get` `logging.views.` `logging.views.access` `logging.views.create` `logging.views.delete` `logging.views.get` `logging.views.list` `logging.views.listLogs` `logging.views.listResourceKeys` `logging.views.listResourceValues` `logging.views.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Logs Bucket Writer (`roles/logging.bucketWriter`) Ability to write logs to a log bucket. Lowest-level resources where you can grant this role: Project	`logging.buckets.write`
Logs Configuration Writer (`roles/logging.configWriter`) Provides permissions to read and write the configurations of logs-based metrics and sinks for exporting logs. Lowest-level resources where you can grant this role: Project	`logging.buckets.create` `logging.buckets.delete` `logging.buckets.get` `logging.buckets.list` `logging.buckets.undelete` `logging.buckets.update` `logging.exclusions.` `logging.exclusions.create` `logging.exclusions.delete` `logging.exclusions.get` `logging.exclusions.list` `logging.exclusions.update` `logging.links.` `logging.links.create` `logging.links.delete` `logging.links.get` `logging.links.list` `logging.locations.` `logging.locations.get` `logging.locations.list` `logging.logMetrics.` `logging.logMetrics.create` `logging.logMetrics.delete` `logging.logMetrics.get` `logging.logMetrics.list` `logging.logMetrics.update` `logging.logServiceIndexes.list` `logging.logServices.list` `logging.logs.list` `logging.notificationRules.` `logging.notificationRules.create` `logging.notificationRules.delete` `logging.notificationRules.get` `logging.notificationRules.list` `logging.notificationRules.update` `logging.operations.` `logging.operations.cancel` `logging.operations.get` `logging.operations.list` `logging.settings.` `logging.settings.get` `logging.settings.update` `logging.sinks.` `logging.sinks.create` `logging.sinks.delete` `logging.sinks.get` `logging.sinks.list` `logging.sinks.update` `logging.views.create` `logging.views.delete` `logging.views.get` `logging.views.list` `logging.views.update` `resourcemanager.projects.get` `resourcemanager.projects.list`
Log Field Accessor (`roles/logging.fieldAccessor`) Ability to read restricted fields in a log bucket. Lowest-level resources where you can grant this role: Project	`logging.fields.access`
Log Link Accessor (`roles/logging.linkViewer`) Ability to see links for a bucket.	`logging.links.get` `logging.links.list`
Logs Writer (`roles/logging.logWriter`) Provides the permissions to write log entries. Lowest-level resources where you can grant this role: Project	`logging.logEntries.create` `logging.logEntries.route`
Private Logs Viewer (`roles/logging.privateLogViewer`) Provides permissions of the Logs Viewer role and in addition, provides read-only access to log entries in private logs. Lowest-level resources where you can grant this role: Project	`logging.buckets.get` `logging.buckets.list` `logging.exclusions.get` `logging.exclusions.list` `logging.links.get` `logging.links.list` `logging.locations.*` `logging.locations.get` `logging.locations.list` `logging.logEntries.list` `logging.logMetrics.get` `logging.logMetrics.list` `logging.logServiceIndexes.list` `logging.logServices.list` `logging.logs.list` `logging.privateLogEntries.list` `logging.queries.create` `logging.queries.delete` `logging.queries.get` `logging.queries.list` `logging.queries.listShared` `logging.queries.update` `logging.sinks.get` `logging.sinks.list` `logging.usage.get` `logging.views.access` `logging.views.get` `logging.views.list` `resourcemanager.projects.get`
Logs View Accessor (`roles/logging.viewAccessor`) Ability to read logs in a view. Lowest-level resources where you can grant this role: Project	`logging.logEntries.download` `logging.views.access` `logging.views.listLogs` `logging.views.listResourceKeys` `logging.views.listResourceValues`
Logs Viewer (`roles/logging.viewer`) Provides access to view logs. Lowest-level resources where you can grant this role: Project	`logging.buckets.get` `logging.buckets.list` `logging.exclusions.get` `logging.exclusions.list` `logging.links.get` `logging.links.list` `logging.locations.*` `logging.locations.get` `logging.locations.list` `logging.logEntries.list` `logging.logMetrics.get` `logging.logMetrics.list` `logging.logServiceIndexes.list` `logging.logServices.list` `logging.logs.list` `logging.operations.get` `logging.operations.list` `logging.queries.create` `logging.queries.delete` `logging.queries.get` `logging.queries.list` `logging.queries.listShared` `logging.queries.update` `logging.sinks.get` `logging.sinks.list` `logging.usage.get` `logging.views.get` `logging.views.list` `resourcemanager.projects.get`

Logging Admin

(roles/logging.admin)

Provides all permissions necessary to use all features of Cloud Logging.

Lowest-level resources where you can grant this role:

Project

logging.buckets.copyLogEntries

logging.buckets.create

logging.buckets.delete

logging.buckets.get

logging.buckets.list

logging.buckets.undelete

logging.buckets.update

logging.exclusions.*

logging.exclusions.create
logging.exclusions.delete
logging.exclusions.get
logging.exclusions.list
logging.exclusions.update

logging.fields.access

logging.links.*

logging.links.create
logging.links.delete
logging.links.get
logging.links.list

logging.locations.*

logging.locations.get
logging.locations.list

logging.logEntries.*

logging.logEntries.create
logging.logEntries.download
logging.logEntries.list
logging.logEntries.route

logging.logMetrics.*

logging.logMetrics.create
logging.logMetrics.delete
logging.logMetrics.get
logging.logMetrics.list
logging.logMetrics.update

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.*

logging.logs.delete
logging.logs.list

logging.notificationRules.*

logging.notificationRules.create
logging.notificationRules.delete
logging.notificationRules.get
logging.notificationRules.list
logging.notificationRules.update

logging.operations.*

logging.operations.cancel
logging.operations.get
logging.operations.list

logging.privateLogEntries.list

logging.queries.*

logging.queries.create
logging.queries.delete
logging.queries.get
logging.queries.list
logging.queries.listShared
logging.queries.share
logging.queries.update
logging.queries.updateShared

logging.settings.*

logging.settings.get
logging.settings.update

logging.sinks.*

logging.sinks.create
logging.sinks.delete
logging.sinks.get
logging.sinks.list
logging.sinks.update

logging.usage.get

logging.views.*

logging.views.access
logging.views.create
logging.views.delete
logging.views.get
logging.views.list
logging.views.listLogs
logging.views.listResourceKeys
logging.views.listResourceValues
logging.views.update

resourcemanager.projects.get

resourcemanager.projects.list

Logs Bucket Writer

(roles/logging.bucketWriter)

Ability to write logs to a log bucket.

Lowest-level resources where you can grant this role:

Project

logging.buckets.write

Logs Configuration Writer

(roles/logging.configWriter)

Provides permissions to read and write the configurations of logs-based metrics and sinks for exporting logs.

Lowest-level resources where you can grant this role:

Project

logging.buckets.create

logging.buckets.delete

logging.buckets.get

logging.buckets.list

logging.buckets.undelete

logging.buckets.update

logging.exclusions.*

logging.exclusions.create
logging.exclusions.delete
logging.exclusions.get
logging.exclusions.list
logging.exclusions.update

logging.links.*

logging.links.create
logging.links.delete
logging.links.get
logging.links.list

logging.locations.*

logging.locations.get
logging.locations.list

logging.logMetrics.*

logging.logMetrics.create
logging.logMetrics.delete
logging.logMetrics.get
logging.logMetrics.list
logging.logMetrics.update

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.notificationRules.*

logging.notificationRules.create
logging.notificationRules.delete
logging.notificationRules.get
logging.notificationRules.list
logging.notificationRules.update

logging.operations.*

logging.operations.cancel
logging.operations.get
logging.operations.list

logging.settings.*

logging.settings.get
logging.settings.update

logging.sinks.*

logging.sinks.create
logging.sinks.delete
logging.sinks.get
logging.sinks.list
logging.sinks.update

logging.views.create

logging.views.delete

logging.views.get

logging.views.list

logging.views.update

resourcemanager.projects.get

resourcemanager.projects.list

Log Field Accessor

(roles/logging.fieldAccessor)

Ability to read restricted fields in a log bucket.

Lowest-level resources where you can grant this role:

Project

logging.fields.access

Log Link Accessor

(roles/logging.linkViewer)

Ability to see links for a bucket.

logging.links.get

logging.links.list

Logs Writer

(roles/logging.logWriter)

Provides the permissions to write log entries.

Lowest-level resources where you can grant this role:

Project

logging.logEntries.create

logging.logEntries.route

Private Logs Viewer

(roles/logging.privateLogViewer)

Provides permissions of the Logs Viewer role and in addition, provides read-only access to log entries in private logs.

Lowest-level resources where you can grant this role:

Project

logging.buckets.get

logging.buckets.list

logging.exclusions.get

logging.exclusions.list

logging.links.get

logging.links.list

logging.locations.*

logging.locations.get
logging.locations.list

logging.logEntries.list

logging.logMetrics.get

logging.logMetrics.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

logging.queries.create

logging.queries.delete

logging.queries.get

logging.queries.list

logging.queries.listShared

logging.queries.update

logging.sinks.get

logging.sinks.list

logging.usage.get

logging.views.access

logging.views.get

logging.views.list

resourcemanager.projects.get

Logs View Accessor

(roles/logging.viewAccessor)

Ability to read logs in a view.

Lowest-level resources where you can grant this role:

Project

logging.logEntries.download

logging.views.access

logging.views.listLogs

logging.views.listResourceKeys

logging.views.listResourceValues

Logs Viewer

(roles/logging.viewer)

Provides access to view logs.

Lowest-level resources where you can grant this role:

Project

logging.buckets.get

logging.buckets.list

logging.exclusions.get

logging.exclusions.list

logging.links.get

logging.links.list

logging.locations.*

logging.locations.get
logging.locations.list

logging.logEntries.list

logging.logMetrics.get

logging.logMetrics.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.operations.get

logging.operations.list

logging.queries.create

logging.queries.delete

logging.queries.get

logging.queries.list

logging.queries.listShared

logging.queries.update

logging.sinks.get

logging.sinks.list

logging.usage.get

logging.views.get

logging.views.list

resourcemanager.projects.get

As seções a seguir fornecem mais informações para ajudar você a decidir quais papéis se aplicam aos casos de uso dos principais.

Papéis do Logging

Para permitir que um usuário execute todas as ações no Logging, conceda o papel de Administrador do Logging (roles/logging.admin).
Para permitir que um usuário crie e modifique configurações de geração de registros, como coletores, buckets, visualizações, links, métricas com base em registros ou exclusões, conceda o papel Gravador de configuração de registros (roles/logging.configWriter).
Para permitir que um usuário leia registros nos buckets _Required e _Default, use a Análise de registros e a página Análise de registros, conceda um dos seguintes papéis:
- Para acesso a todos os registros no bucket _Required e à visualização _Default no bucket _Default, conceda o papel de Visualizador de registros (roles/logging.viewer).
- Para ter acesso a todos os registros nos buckets _Required e _Default, incluindo registros de acesso a dados, conceda o papel Leitor de registros particulares (roles/logging.privateLogViewer).
Para permitir que um usuário leia registros armazenados em um bucket definido pelo usuário, conceda o papel de Acesso de visualização de registros (roles/logging.viewAccessor). É possível restringir a autorização a uma visualização de registro específica em um bucket específico usando uma condição do IAM. Consulte Conceder acesso a uma visualização de registro.
Para dar a um usuário acesso a campos LogEntry restritos, se houver, em um determinado bucket, conceda o papel Acessador de campo de registros (roles/logging.fieldAccessor). Para mais informações, consulte Configurar o acesso no nível do campo.
Para permitir que um usuário grave registros usando a API Logging, conceda o papel de Gravador de registros (roles/logging.logWriter). Este papel não concede permissões de visualização.
Para permitir que a conta de serviço de um coletor direcione os registros para um bucket em um projeto diferente do Google Cloud, conceda à conta de serviço o papel Gravador de bucket de registros (roles/logging.bucketWriter). Para instruções sobre como conceder permissões a uma conta de serviço, consulte Definir permissões de destino.

Papéis no nível do projeto

Para conceder acesso de visualização à maioria dos serviços do Google Cloud, conceda o papel de Leitor (roles/viewer).

Esse papel inclui todas as permissões concedidas pelo papel de visualizador de registros (roles/logging.viewer).
Para conceder acesso de editor à maioria dos serviços do Google Cloud, conceda o papel de Editor (roles/editor).

Esse papel inclui todas as permissões concedidas pelo de Visualizador de registros (roles/logging.viewer) e para gravar entradas de registro, excluir registros e criar métricas com base em registros. No entanto, esse papel não permite que os usuários criem coletores, leiam registros de auditoria de acesso a dados que estão no bucket _Default ou leiam registros que estão em buckets de registros definidos pelo usuário.
Para dar acesso total à maioria dos serviços do Google Cloud, conceda o papel de Proprietário (roles/owner).

Concedendo papéis

Para saber como conceder um papel ao principal, consulte Como conceder, alterar e revogar o acesso.

É possível atribuir vários papéis ao mesmo usuário. Para ver uma lista das permissões contidas em um papel, consulte Como receber os metadados do papel.

Se você estiver tentando acessar um recurso do Google Cloud e não tiver as permissões necessárias, entre em contato com o principal listado como o Proprietário do recurso.

papéis personalizados

Para criar um papel personalizado com as permissões do Logging, siga estas etapas:

Para um papel que conceda permissões para a API Logging, escolha as permissões de permissões da API e siga as instruções para criar um papel personalizado.
Para um papel que conceda permissões para usar o Explorador de registros, escolha entre os grupos de permissões em Permissões do console e siga as instruções para criar um papel personalizado.
Para um papel que concede permissões para usar gcloud logging, consulte a seção Permissões de linha de comando nesta página e siga as instruções para criar um personalizado papel.

Para ver mais informações sobre papéis personalizados, consulte Noções básicas sobre os papéis personalizados do IAM.

Permissões para a API Logging

Os métodos da API Logging exigem permissões específicas do IAM. A tabela a seguir lista as permissões exigidas pelos métodos da API.

Se você estiver interessado em registros mantidos em organizações, contas de faturamento e pastas do Google Cloud, observe que esses recursos têm seus próprios métodos de API para logs e sinks. Em vez de repetir todos os métodos na tabela, apenas os métodos projects são mostrados individualmente.

Método de geração de registro	Permissão necessária	Tipo de recurso
`billingAccounts.logs.*`	`logging.logs.` (Consulte `projects.logs.`)	contas de faturamento
`billingAccounts.sinks.*`	`logging.sinks.` (Consulte `projects.sinks.`.)	contas de faturamento
`billingAccounts.locations.buckets.*`	`logging.buckets.` (Consulte `projects.locations.buckets.`.)	contas de faturamento
`entries.list`	`logging.logEntries.list` ou `logging.privateLogEntries.list`	projetos, organizações, pastas, contas de faturamento
`entries.tail`	`logging.logEntries.list` ou `logging.privateLogEntries.list`	projetos, organizações, pastas, contas de faturamento
`entries.write`	`logging.logEntries.create`	projetos, organizações, pastas, contas de faturamento
`folders.logs.*`	`logging.logs.` (Consulte `projects.logs.`)	pastas
`folders.sinks.*`	`logging.sinks.` (Consulte `projects.sinks.`)	pastas
`folders.locations.buckets.*`	`logging.buckets.` (Consulte `projects.locations.buckets.`)	pastas
`monitoredResourceDescriptors.list`	(nenhum)	(nenhum)
`organizations.logs.*`	`logging.logs.` (Consulte `projects.logs.`)	organizations
`organizations.sinks.*`	`logging.sinks.` (Consulte `projects.sinks.`)	organizations
`organizations.locations.buckets.*`	`logging.buckets.` (Consulte `projects.locations.buckets.`)	organizations
`projects.exclusions.create`	`logging.exclusions.create`	projetos
`projects.exclusions.delete`	`logging.exclusions.delete`	projetos
`projects.exclusions.get`	`logging.exclusions.get`	projetos
`projects.exclusions.list`	`logging.exclusions.list`	projetos
`projects.exclusions.patch`	`logging.exclusions.update`	projetos
`projects.logs.list`	`logging.logs.list`	projetos
`projects.logs.delete`	`logging.logs.delete`	projetos
`projects.sinks.list`	`logging.sinks.list`	projetos
`projects.sinks.get`	`logging.sinks.get`	projetos
`projects.sinks.create`	`logging.sinks.create`	projetos
`projects.sinks.update`	`logging.sinks.update`	projetos
`projects.sinks.delete`	`logging.sinks.delete`	projetos
`projects.locations.buckets.list`	`logging.buckets.list`	projetos
`projects.locations.buckets.get`	`logging.buckets.get`	projetos
`projects.locations.buckets.patch`	`logging.buckets.update`	projetos
`projects.locations.buckets.create`	`logging.buckets.create`	projetos
`projects.locations.buckets.delete`	`logging.buckets.delete`	projetos
`projects.locations.buckets.undelete`	`logging.buckets.undelete`	projetos
`projects.metrics.list`	`logging.logMetrics.list`	projetos
`projects.metrics.get`	`logging.logMetrics.get`	projetos
`projects.metrics.create`	`logging.logMetrics.create`	projetos
`projects.metrics.update`	`logging.logMetrics.update`	projetos
`projects.metrics.delete`	`logging.logMetrics.delete`	projetos

Permissões do console do Google Cloud

A tabela a seguir lista as permissões necessárias para usar o Explorador de registros.

Na tabela, a.b.{x,y} significa a.b.x e a.b.y.

Atividade do console	Permissões necessárias
Acesso mínimo somente de leitura	`logging.logEntries.list` `logging.logs.list` `logging.logServiceIndexes.list` `logging.logServices.list` `resourcemanager.projects.get`
Adicionar capacidade de visualizar registros de auditoria de acesso a dados	Inserir `logging.privateLogEntries.list`
Adicionar permissão para ver métricas com base em registros	Adicionar `logging.logMetrics.`{`list`, `get`}
Adicionar permissão para exibir coletores	Adicionar `logging.sinks.`{`list`, `get`}
Adicionar permissão para ver o uso de registros	Adicionar `logging.usage.get`
Adicionar permissão para excluir registros	Adicionar `logging.exclusions.`{`list`, `create`, `get`, `update`, `delete`}
Adicionar capacidade de usar coletores	Adicionar `logging.sinks.{list`, `create`, `get`, `update`, `delete`}
Adicionar permissão para criar métricas com base em registros	Adicionar `logging.logMetrics.`{`list`, `create`, `get`, `update`, `delete`}
Adicionar a capacidade de salvar consultas	Adicionar `logging.queries.`{`list`, `create`, `get`, `update`, `delete`}
Adicionar capacidade de compartilhar consultas	Inserir `logging.queries.share`
Adicionar a capacidade de usar consultas recentes	Adicionar `logging.queries.`{`create`, `list`}

Permissões para a linha de comando

Os comandos gcloud logging são controlados pelas permissões do IAM.

Para usar qualquer um dos comandos gcloud logging, os principais precisam ter a permissão serviceusage.services.use.

Um principal também precisa ter o papel do IAM que corresponde ao recurso do registro e ao caso de uso. Para mais detalhes, consulte as permissões da interface de linha de comando.

Permissões para conjuntos de dados vinculados do BigQuery

Na lista a seguir, descrevemos os papéis predefinidos e as permissões correspondentes para gerenciar os conjuntos de dados vinculados do BigQuery:

Os papéis Administrador do Logging (roles/logging.admin) e Gravador de configuração de registros (roles/logging.configWriter) contêm as seguintes permissões:
- logging.links.list
- logging.links.create
- logging.links.get
- logging.links.delete
Os papéis Acessador do link de registro (roles/logging.linkViewer), Visualizador de registros particulares (roles/logging.privateLogViewer) e Visualizador de registros (roles/logging.viewer) contêm as seguintes permissões:
- logging.links.list
- logging.links.get

Os papéis e permissões listados anteriormente se aplicam apenas às páginas do Logging, como a de Análise de dados de registros. Se você usa a interface do BigQuery para gerenciar conjuntos de dados, pode ser necessário separar papéis e permissões do BigQuery. Para mais informações, consulte Controle de acesso com o IAM do BigQuery.

Permissões para registros de roteamento

Para informações sobre como definir controles de acesso ao criar e gerenciar coletores para rotear registros, consulte Definir permissões de destino.

O gerenciamento de filtros de exclusão é integrado à configuração de coletores. Todas as permissões relacionadas ao gerenciamento de coletores, incluindo a configuração de filtros de exclusão, estão incluídas nas permissões logging.sinks.*. Ao criar um papel personalizado que inclua permissões para gerenciar filtros de exclusão, adicione as permissões logging.sinks.* ao papel em vez de adicionar as permissões logging.exclusions.*.

Depois que suas entradas de registro forem roteadas para um destino compatível, o acesso às cópias de registro será controlado totalmente pelas permissões e papéis do IAM nos destinos: Cloud Storage, BigQuery ou Pub/Sub.

Permissões para métricas com base em registros

Veja a seguir um resumo das permissões e dos papéis comuns necessários ao principal para acessar métricas com base em registros:

O papel Gravador de configuração de registros (roles/logging.configWriter) permite que os principais listem, criem, recebam, atualizem e excluam métricas com base em registros.
O papel Visualizador de registros (roles/logging.viewer) contém permissões para visualizar as métricas atuais. Especificamente, um principal precisa das permissões logging.logMetrics.get e logging.logMetrics.list para visualizar as métricas atuais.
O papel Leitor do Monitoring (roles/monitoring.viewer) contém as permissões para ler dados de TimeSeries. Especificamente, um principal precisa da permissão monitoring.timeSeries.list para ler dados de série temporal.
Os papéis Administrador do Logging (roles/logging.admin), Editor do projeto (roles/editor) e Proprietário do projeto (roles/owner) contêm as permissões para criar métricas com base em registros. Especificamente, um principal precisa da permissão logging.logMetrics.create para criar métricas com base em registros.

Permissões para alertas com base em registros

Para criar e gerenciar alertas com base em registros, um principal precisa dos seguintes papéis e permissões do Logging e do Monitoring:

Para receber as permissões necessárias para ler registros e gerenciar regras de notificação do Logging, peça ao administrador para conceder a você o papel do IAM de Administrador do Logging (roles/logging.admin) no projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Para ter as permissões necessárias para gerenciar as políticas e os canais de alerta usados pelos alertas com base em registros, peça ao administrador para conceder a você os seguintes papéis do IAM no seu projeto:
- Editor de AlertPolicy do Monitoring (roles/monitoring.alertPolicyEditor)
- Editor de NotificationChannel do Monitoring (roles/monitoring.notificationChannelEditor)

Para ter as permissões necessárias para criar uma política de alertas na Google Cloud CLI, peça ao administrador para conceder a você o papel de IAM Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer) no seu projeto.

Escopos de acesso do Logging

Escopos de acesso são o método legado de especificar permissões para as contas de serviço nas instâncias da VM do Compute Engine.

Os seguintes escopos de acesso se aplicam à API Logging:

Escopo de acesso	Permissões concedidas
https://www.googleapis.com/auth/logging.read	`roles/logging.viewer`
https://www.googleapis.com/auth/logging.write	`roles/logging.logWriter`
https://www.googleapis.com/auth/logging.admin	Acesso total à API Logging.
https://www.googleapis.com/auth/cloud-platform	Acesso total à API Logging e a todas as outras APIs do Google Cloud ativadas.

Para informações sobre como usar esse método legado para definir os níveis de acesso das suas contas de serviço, consulte Permissões da conta de serviço.