Neste documento, descrevemos como usar os papéis e as permissões do Identity and Access Management (IAM) para controlar o acesso aos dados de registros na API Logging, no Explorador de registros e na Google Cloud CLI.
Visão geral
As permissões e os papéis do IAM determinam sua capacidade de acessar dados de registros na API Logging, no Explorador de registros e na Google Cloud CLI.
Um papel é um conjunto de permissões. Não é possível conceder uma permissão principal diretamente. em vez disso, você concede a eles um papel. Quando você faz isso, concede ao principal todas as permissões contidas no papel. É possível atribuir vários papéis ao mesmo principal.
Para usar o Logging em um recurso do Google Cloud, como um projeto, uma pasta, um bucket ou uma organização do Google Cloud, um principal precisa ter um papel do IAM que contenha as permissões apropriadas.
Papéis predefinidos
O IAM fornece papéis predefinidos para conceder acesso granular a recursos específicos do Google Cloud e impedir o acesso indesejado a outros recursos. O Google Cloud cria e mantém esses papéis e atualiza automaticamente as permissões conforme necessário, como quando o Logging adiciona novos recursos.
A tabela a seguir lista os papéis predefinidos do Logging. Para cada papel, a tabela mostra o título, a descrição, as permissões contidas e o tipo de recurso de nível mais baixo em que os papéis podem ser concedidos. É possível conceder os papéis predefinidos no nível do projeto do Cloud ou, na maioria dos casos, em qualquer tipo mais alto na hierarquia do Google Cloud. Para definir o escopo do papel de gravador de buckets ou de gravador de buckets de registros para o nível de bucket, use atributos de recursos para as condições do IAM.
Para ver uma lista de cada permissão individual contida em um papel, consulte Como obter os metadados do papel.
Papel | Permissões |
---|---|
Administrador do Logging( Concede as permissões necessárias para usar todos os recursos do Cloud Logging. Recursos de nível mais baixo em que você pode conceder esse papel:
Contém 15 permissões de proprietário |
logging.buckets.copyLogEntries logging.buckets.create logging.buckets.delete logging.buckets.get logging.buckets.list logging.buckets.undelete logging.buckets.update logging.exclusions.*
logging.fields.access logging.links.*
logging.locations.*
logging.logEntries.*
logging.logMetrics.*
logging.logServiceIndexes.list logging.logServices.list logging.logs.*
logging.notificationRules.*
logging.operations.*
logging.privateLogEntries.list logging.queries.*
Configurações de registro
logging.sinks.*
logging.usage.get logging.views.*
resourcemanager.projects.get resourcemanager.projects.list |
Gravador de bucket de registros( Capacidade de gravar registros em um bucket. Recursos de nível mais baixo em que você pode conceder esse papel:
|
logging.buckets.write |
Gravador de configuração de registros( Concede permissões para ler e gravar as configurações de métricas com base em registros e de coletores para exportação de registros. Recursos de nível mais baixo em que você pode conceder esse papel:
Contém 10 permissões de proprietário |
logging.buckets.create logging.buckets.delete logging.buckets.get logging.buckets.list logging.buckets.undelete logging.buckets.update logging.exclusions.*
logging.links.*
logging.locations.*
logging.logMetrics.*
logging.logServiceIndexes.list logging.logServices.list logging.logs.list logging.notificationRules.*
logging.operations.*
Configurações de registro.*
logging.sinks.*
logging.views.create logging.views.delete logging.views.get logging.views.list logging.views.update resourcemanager.projects.get resourcemanager.projects.list |
Acessador de campo de registro( Capacidade de ler campos restritos em um bucket de registros. Recursos de nível mais baixo em que você pode conceder esse papel:
Contém uma permissão de proprietário |
logging.fields.access |
Acessador de links do registro Beta( Capacidade de ver links de um bucket. |
logging.links.get logging.links.list |
Gravador de registros( Concede permissões para gravar entradas de registro. Recursos de nível mais baixo em que você pode conceder esse papel:
|
logging.logEntries.create |
Visualizador de registros particulares( Concede permissões do papel visualizador de registros e dá acesso somente leitura a entradas em registros particulares. Recursos de nível mais baixo em que você pode conceder esse papel:
Contém duas permissões de proprietário |
logging.buckets.get logging.buckets.list logging.exclusions.get logging.exclusions.list logging.links.get logging.links.list logging.locations.*
logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.list logging.logServices.list logging.logs.list logging.privateLogEntries.list logging.queries.create logging.queries.delete logging.queries.get logging.queries.list logging.queries.listShared logging.queries.update logging.sinks.get logging.sinks.list logging.usage.get logging.views.access logging.views.get logging.views.list resourcemanager.projects.get |
Acessador de exibição de registros( Capacidade de ler registros em uma visualização. Recursos de nível mais baixo em que você pode conceder esse papel:
Contém uma permissão de proprietário |
logging.logEntries.download logging.views.access logging.views.listLogs logging.views.listResourceKeys logging. |
Visualizador de registros( Dá acesso para visualizar registros. Recursos de nível mais baixo em que você pode conceder esse papel:
|
logging.buckets.get logging.buckets.list logging.exclusions.get logging.exclusions.list logging.links.get logging.links.list logging.locations.*
logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.list logging.logServices.list logging.logs.list logging.operations.get logging.operations.list logging.queries.create logging.queries.delete logging.queries.get logging.queries.list logging.queries.listShared logging.queries.update logging.sinks.get logging.sinks.list logging.usage.get logging.views.get logging.views.list resourcemanager.projects.get |
As seções a seguir fornecem mais informações para ajudar você a decidir quais papéis se aplicam aos casos de uso dos seus principais.
Papéis do Logging
Para permitir que um usuário execute todas as ações no Logging, conceda o papel de Administrador do Logging (
roles/logging.admin
).Para permitir que um usuário crie e modifique configurações de geração de registros, como coletores, buckets, visualizações, links, métricas com base em registros ou exclusões, conceda o papel de gravador de configuração de registros (
roles/logging.configWriter
).Para permitir que um usuário leia registros nos buckets
_Required
e_Default
, use o Explorador de registros e a página "Análise de registros", conceda um dos seguintes papéis:- Para ter acesso a todos os registros no bucket
_Required
e à visualização_Default
no bucket_Default
, conceda o papel de Visualizador de registros (roles/logging.viewer
). - Para ter acesso a todos os registros nos buckets
_Required
e_Default
, incluindo registros de acesso a dados, conceda o papel de visualizador de registros particulares (roles/logging.privateLogViewer
).
- Para ter acesso a todos os registros no bucket
Para permitir que um usuário leia registros usando uma visualização de registro em um bucket definido pelo usuário, conceda o papel de acessador de visualização de registros (
roles/logging.viewAccessor
). É possível restringir a autorização a uma visualização específica em um bucket específico usando uma condição do IAM. Consulte Como ler registros de um bucket para ver um exemplo.Para conceder a um usuário acesso a campos
LogEntry
restritos, se houver, em um determinado bucket, conceda o papel de Acesso a campos de registro (roles/logging.fieldAccessor
). Para mais informações, consulte Configurar o acesso no nível do campo.Para permitir que um usuário grave registros usando a API Logging, conceda o papel de gravador de registros (
roles/logging.logWriter
). Este papel não concede permissões de visualização.Para permitir que a conta de serviço de uma rota de coletor grave em um bucket em outro projeto do Google Cloud, conceda à conta de serviço o papel de gravador de buckets de registros (
roles/logging.bucketWriter
). Para ver instruções sobre como conceder permissões a uma conta de serviço, consulte Definir permissões de destino.
Papéis no nível do projeto
Para conceder acesso de visualização à maioria dos serviços do Google Cloud, conceda o papel de leitor (
roles/viewer
).Esse papel inclui todas as permissões concedidas pelo papel de Visualizador de registros (
roles/logging.viewer
).Para conceder acesso de editor à maioria dos serviços do Google Cloud, conceda o papel de Editor (
roles/editor
).Esse papel inclui todas as permissões concedidas pelo papel de visualizador de registros (
roles/logging.viewer
) e para gravar entradas de registro, excluir registros e criar métricas com base em registros. No entanto, esse papel não permite que os usuários criem coletores ou leiam os registros de auditoria de acesso a dados que estão no bucket_Default
.Para conceder acesso total à maioria dos serviços do Google Cloud, conceda o papel de Proprietário (
roles/owner
).
Concedendo papéis
Para saber como conceder um papel ao principal, consulte Como conceder, alterar e revogar o acesso.
É possível atribuir vários papéis ao mesmo usuário. Para ver uma lista das permissões contidas em um papel, consulte Como receber os metadados do papel.
Se você estiver tentando acessar um recurso do Google Cloud e não tiver as permissões necessárias, entre em contato com o principal listado como o Proprietário do recurso.
Papéis personalizados
Para criar um papel personalizado com as permissões do Logging, siga estas etapas:
Para um papel que conceda permissões para a API Logging, escolha as permissões de permissões da API e siga as instruções para criar um papel personalizado.
Para um papel que conceda permissões para usar o Explorador de registros, escolha entre os grupos de permissões em Permissões do console e siga as instruções para criar um papel personalizado.
Para um papel que concede permissões para usar
gcloud logging
, consulte a seção Permissões de linha de comando nesta página e siga as instruções para criar um personalizado papel.
Para ver mais informações sobre papéis personalizados, consulte Noções básicas sobre os papéis personalizados do IAM.
Permissões da API
Os métodos da API Logging exigem permissões específicas do IAM. A tabela a seguir lista as permissões exigidas pelos métodos da API.
Se você tiver interesse em registros armazenados em organizações,
contas de faturamento e pastas do Google Cloud, esses recursos têm os próprios métodos
de API para logs
e sinks
. Em vez de repetir todos os métodos na tabela, apenas os métodos projects
são mostrados individualmente.
Método de geração de registro | Permissão necessária | Tipo de recurso |
---|---|---|
billingAccounts.logs.* |
logging.logs.* (Consulte projects.logs.* ) |
contas de faturamento |
billingAccounts.sinks.* |
logging.sinks.* (Consulte projects.sinks.* .) |
contas de faturamento |
billingAccounts.locations.buckets.* |
logging.buckets.* (Consulte projects.locations.buckets.* .) |
contas de faturamento |
entries.list |
logging.logEntries.list ou logging.privateLogEntries.list |
projetos, organizações, pastas, contas de faturamento |
entries.tail |
logging.logEntries.list ou logging.privateLogEntries.list |
projetos, organizações, pastas, contas de faturamento |
entries.write |
logging.logEntries.create |
projetos, organizações, pastas, contas de faturamento |
folders.logs.* |
logging.logs.* (Consulte projects.logs.* ) |
pastas |
folders.sinks.* |
logging.sinks.* (Consulte projects.sinks.* ) |
pastas |
folders.locations.buckets.* |
logging.buckets.* (Consulte projects.locations.buckets.* ) |
pastas |
monitoredResourceDescriptors.list |
(nenhum) | (nenhum) |
organizations.logs.* |
logging.logs.* (Consulte projects.logs.* ) |
organizações |
organizations.sinks.* |
logging.sinks.* (Consulte projects.sinks.* ) |
organizações |
organizations.locations.buckets.* |
logging.buckets.* (Consulte projects.locations.buckets.* ) |
organizações |
projects.exclusions.create |
logging.exclusions.create |
projetos |
projects.exclusions.delete |
logging.exclusions.delete |
projetos |
projects.exclusions.get |
logging.exclusions.get |
projetos |
projects.exclusions.list |
logging.exclusions.list |
projetos |
projects.exclusions.patch |
logging.exclusions.update |
projetos |
projects.logs.list |
logging.logs.list |
projetos |
projects.logs.delete |
logging.logs.delete |
projetos |
projects.sinks.list |
logging.sinks.list |
projetos |
projects.sinks.get |
logging.sinks.get |
projetos |
projects.sinks.create |
logging.sinks.create |
projetos |
projects.sinks.update |
logging.sinks.update |
projetos |
projects.sinks.delete |
logging.sinks.delete |
projetos |
projects.locations.buckets.list |
logging.buckets.list |
projetos |
projects.locations.buckets.get |
logging.buckets.get |
projetos |
projects.locations.buckets.patch |
logging.buckets.update |
projetos |
projects.locations.buckets.create |
logging.buckets.create |
projetos |
projects.locations.buckets.delete |
logging.buckets.delete |
projetos |
projects.locations.buckets.undelete |
logging.buckets.undelete |
projetos |
projects.metrics.list |
logging.logMetrics.list |
projetos |
projects.metrics.get |
logging.logMetrics.get |
projetos |
projects.metrics.create |
logging.logMetrics.create |
projetos |
projects.metrics.update |
logging.logMetrics.update |
projetos |
projects.metrics.delete |
logging.logMetrics.delete |
projects |
Permissões do Console do Google Cloud
A tabela a seguir lista as permissões necessárias para usar o Explorador de registros.
Na tabela, a.b.{x,y}
significa a.b.x
e a.b.y
.
Atividade do console | Permissões necessárias |
---|---|
Acesso mínimo somente de leitura | logging.logEntries.list logging.logs.list logging.logServiceIndexes.list logging.logServices.list resourcemanager.projects.get |
Adicionar capacidade de visualizar registros de auditoria de acesso a dados | Inserir logging.privateLogEntries.list |
Adicionar permissão para ver métricas com base em registros | Adicionar logging.logMetrics. {list , get } |
Adicionar permissão para exibir coletores | Adicionar logging.sinks. {list , get } |
Adicionar permissão para ver o uso de registros | Adicionar logging.usage.get |
Adicionar permissão para excluir registros | Adicionar logging.exclusions. {list , create , get , update , delete } |
Adicionar capacidade de usar coletores | Adicionar logging.sinks.{list , create , get , update , delete } |
Adicionar permissão para criar métricas com base em registros | Adicionar logging.logMetrics. {list , create , get , update , delete } |
Adicionar a capacidade de salvar consultas | Adicionar logging.queries. {list , create , get , update , delete } |
Adicionar capacidade de compartilhar consultas | Inserir logging.queries.share |
Adicionar a capacidade de usar consultas recentes | Adicionar logging.queries. {create , list } |
Permissões de linha de comando
Os comandos gcloud logging
são
controlados pelas permissões do IAM.
Para usar qualquer um dos comandos gcloud logging
, os principais precisam ter a
permissão serviceusage.services.use
.
Um principal também precisa ter o papel do IAM que corresponde ao recurso do registro e ao caso de uso. Veja mais detalhes em Permissões da interface de linha de comando.
Vincular a permissões do conjunto de dados do BigQuery
A lista a seguir descreve os papéis predefinidos e as permissões correspondentes para o gerenciamento dos conjuntos de dados do BigQuery vinculados:
O Administrador do Logging (
roles/logging.admin
) e o Gravador da configuração de registros (roles/logging.configWriter
) concedem as seguintes permissões:logging.links.list
logging.links.create
logging.links.get
logging.links.delete
O acesso ao link de registro (
roles/logging.linkViewer
), o visualizador de registros particulares (roles/logging.privateLogViewer
) e o visualizador de registros (roles/logging.viewer
) concedem as seguintes permissões:logging.links.list
logging.links.get
Os papéis e permissões listados acima se aplicam somente às páginas do Logging, como a página "Análise de registros". Se você usa a interface do BigQuery para gerenciar conjuntos de dados, talvez precise de funções e permissões do BigQuery separadas. Para mais informações, consulte Controle de acesso com o IAM para o BigQuery.
Permissões de roteamento de registros
Para informações sobre como configurar controles de acesso ao criar e gerenciar coletores para encaminhar registros, consulte Definir permissões de destino.
O gerenciamento de filtros de exclusão é integrado à configuração de coletores. Todas as permissões relacionadas ao gerenciamento de coletores, incluindo a configuração de filtros de exclusão, estão incluídas nas permissões logging.sinks.*
. Ao criar um papel personalizado que inclua permissões para gerenciar filtros de exclusão, adicione as permissões logging.sinks.*
ao papel em vez de adicionar as permissões logging.exclusions.*
.
Depois que suas entradas de registro forem roteadas para um destino compatível, o acesso às cópias de registro será controlado totalmente pelas permissões e papéis do IAM nos destinos: Cloud Storage, BigQuery ou Pub/Sub.
Permissões de métricas com base em registros.
Veja a seguir um resumo das permissões e dos papéis comuns necessários ao principal para acessar métricas com base em registros:
O Gravador de configuração de registros (
roles/logging.configWriter
) permite que os principais listem, criem, recebam, atualizem e excluam métricas com base em registros.O Visualizador de registros (
roles/logging.viewer
) permite que os principais vejam as métricas existentes. Também é possível adicionar as permissõeslogging.logMetrics.get
elogging.logMetrics.list
a um papel personalizado.O Leitor do Monitoring (
roles/monitoring.viewer
) permite que os participantes leiam dados de TimeSeries. Também é possível adicionar a permissãomonitoring.timeSeries.list
a um papel personalizado.Administrador do Logging (
roles/logging.admin
), Editor do projeto (roles/editor
) e Proprietário do projeto (roles/owner
) permitem que os principais criem métricas com base em registros (logging.logMetrics.create
).
Permissões de alertas com base em registros
Veja a seguir um resumo das funções e permissões comuns que o principal precisa para criar e gerenciar alertas com base em registros:
Administrador do Logging (
roles/logging.admin
). Especificamente, um principal precisa das seguintes permissões para ler registros e gerenciar regras de notificação do Logging:logging.logs.list
logging.logEntries.list
logging.notificationRules.create
logging.notificationRules.update
Essas permissões estão incluídas no papel Administrador do Logging. Se você não quiser conceder esse papel, faça o seguinte:
- Conceda os papéis de Gravador de configuração de registros
(
roles/logging.configWriter
) e Visualizador de registros (roles/logging.viewer
). - Crie um papel personalizado e inclua essas permissões. Para mais informações, consulte Como criar e gerenciar papéis personalizados.
O Editor do Monitoring AlertPolicy (
roles/monitoring.alertPolicyEditor
) e o Editor do Monitoring NotificationChannel (roles/monitoring.notificationChannelEditor
) incluem as permissões necessárias para gerenciar os alertas políticas e canais de notificação usados por alertas baseados em registros:monitoring.alertPolicies.{create, delete, get, list, update}
monitoring.notificationChannelDescriptors.{get, list}
monitoring.notificationChannels.{create, delete, get, list, sendVerificationCode, update, verify}
As permissões necessárias também estão incluídas nos papéis Editor do Monitoring (
roles/monitoring.editor
) e Administrador do Monitoring (roles/monitoring.admin
).Se você não quiser conceder qualquer um desses papéis, crie um papel personalizado e inclua as permissões nos papéis Editor de AlertPolicy do Monitoring e Editor do NotificationChannel.
- Para informações sobre papéis personalizados, consulte Como criar e gerenciar papéis personalizados.
- Para mais informações sobre os papéis e as permissões do Monitoring, consulte Controle de acesso.
Escopos de acesso do Logging
Escopos de acesso são o método legado de especificar permissões para as contas de serviço nas instâncias da VM do Compute Engine.
Os seguintes escopos de acesso se aplicam à API Logging:
Escopo de acesso | Permissões concedidas |
---|---|
https://www.googleapis.com/auth/logging.read | roles/logging.viewer |
https://www.googleapis.com/auth/logging.write | roles/logging.logWriter |
https://www.googleapis.com/auth/logging.admin | Acesso total à API Logging. |
https://www.googleapis.com/auth/cloud-platform | Acesso total à API Logging e a todas as outras APIs do Google Cloud ativadas. |
Para informações sobre como usar esse método legado para definir os níveis de acesso das suas contas de serviço, consulte Permissões da conta de serviço.