使用 IAM 控制访问权限

本文档介绍如何使用 Identity and Access Management (IAM) 角色和权限来控制对 Logging API日志浏览器Google Cloud CLI 中日志数据的访问权限。

概览

IAM 权限角色决定了您能否访问 Logging API日志浏览器Google Cloud CLI 中的日志数据。

一个角色对应一组权限。您不能直接向主帐号授予权限,而是需要向主帐号授予角色。为主帐号授予一个角色就是授予该角色包含的所有权限。您可以为同一位主帐号授予多个角色。

如需在 Google Cloud 资源(例如 Google Cloud 项目、文件夹、存储分区或组织)中使用 Logging,主帐号必须具有包含相应权限的 IAM 角色。

预定义角色

IAM 提供预定义角色可授予对特定 Google Cloud 资源的精细访问权限,并防止对其他资源进行不必要的访问。Google Cloud 创建和维护这些角色,并根据需要自动更新其权限,例如 Logging 添加新功能时。

下表列出了 Logging 的预定义角色。对于每个角色,该表会显示角色标题、说明、包含的权限,以及可以授予角色的最低级别的资源类型。您可以在 Cloud 项目级授予预定义角色,在大多数情况下,您可以在 Google Cloud 层次结构中授予任何更高层级的角色。如需将日志存储分区写入者或日志查看访问者角色的范围更严格限制到存储分区级别,您可以使用 IAM Conditions 的资源特性

如需获取角色中包含的各个权限的列表,请参阅获取角色元数据

角色 权限

Logging Admin
(roles/logging.admin)

提供使用 Cloud Logging 的所有功能所需的全部权限。

您可以授予此角色的最低级层资源:

  • 项目
  • logging.buckets.copyLogEntries
  • logging.buckets.create
  • logging.buckets.delete
  • logging.buckets.get
  • logging.buckets.list
  • logging.buckets.undelete
  • logging.buckets.update
  • logging.cmekSettings.*
  • logging.exclusions.*
  • logging.fields.*
  • logging.locations.*
  • logging.logEntries.*
  • logging.logMetrics.*
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.*
  • logging.notificationRules.*
  • logging.operations.*
  • logging.privateLogEntries.*
  • logging.queries.*
  • logging.sinks.*
  • logging.usage.*
  • logging.views.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Logs Bucket Writer
(roles/logging.bucketWriter)

能够将日志写入日志存储分区。

您可以授予此角色的最低级层资源:

  • 存储分区
  • logging.buckets.write

Logs Configuration Writer
(roles/logging.configWriter)

提供以下内容的读写权限:基于日志的指标配置和用于导出日志的接收器配置。

您可以授予此角色的最低级层资源:

  • 项目
  • logging.buckets.create
  • logging.buckets.delete
  • logging.buckets.get
  • logging.buckets.list
  • logging.buckets.undelete
  • logging.buckets.update
  • logging.cmekSettings.*
  • logging.exclusions.*
  • logging.locations.*
  • logging.logMetrics.*
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.notificationRules.*
  • logging.operations.*
  • logging.sinks.*
  • logging.views.create
  • logging.views.delete
  • logging.views.get
  • logging.views.list
  • logging.views.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Log Field Accessor
(roles/logging.fieldAccessor)

能够读取日志存储桶中的受限字段。

您可以授予此角色的最低级层资源:

  • 存储分区
  • logging.fields.*

Logs Writer
(roles/logging.logWriter)

提供写入日志条目的权限。

您可以授予此角色的最低级层资源:

  • 项目
  • logging.logEntries.create

Private Logs Viewer
(roles/logging.privateLogViewer)

提供 Logs Viewer 角色的权限,还提供对私密日志中日志条目的只读权限。

您可以授予此角色的最低级层资源:

  • 项目
  • logging.buckets.get
  • logging.buckets.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.locations.*
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • logging.queries.create
  • logging.queries.delete
  • logging.queries.get
  • logging.queries.list
  • logging.queries.listShared
  • logging.queries.update
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.*
  • logging.views.access
  • logging.views.get
  • logging.views.list
  • resourcemanager.projects.get

Logs View Accessor
(roles/logging.viewAccessor)

能够在视图中读取日志。

您可以授予此角色的最低级层资源:

  • 项目
  • logging.logEntries.download
  • logging.views.access
  • logging.views.listLogs
  • logging.views.listResourceKeys
  • logging.views.listResourceValues

Logs Viewer
(roles/logging.viewer)

提供查看日志的权限。

您可以授予此角色的最低级层资源:

  • 项目
  • logging.buckets.get
  • logging.buckets.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.locations.*
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.operations.get
  • logging.operations.list
  • logging.queries.create
  • logging.queries.delete
  • logging.queries.get
  • logging.queries.list
  • logging.queries.listShared
  • logging.queries.update
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.*
  • logging.views.get
  • logging.views.list
  • resourcemanager.projects.get

其他注意事项

在决定哪些权限和角色适用于主帐号的使用场景时,请考虑以下事项:

  • roles/logging.admin (Logging Admin) 可授予与 Logging 相关的所有权限。

  • roles/logging.viewer(日志查看器)可向主帐号授予对 Logging 大多数功能的只读权限。

    Logs Viewer 角色可向主帐号授予对 _Required 存储分区中 _AllLogs 日志视图_Default 存储分区中的 _Default 日志视图的访问权限。

    Logs Viewer 角色不会允许主帐号读取 _Default 存储分区中的数据访问审核日志。如需读取这些数据访问审核日志,主帐号需要具有适当的日志视图的 Private Logs Viewer 角色 (roles/logging.privateLogViewer)。

    Logs Viewer 角色不会允许主帐号读取存储在用户定义的存储分区中的日志;如需读取用户定义的存储分区中的日志,主帐号需要相应日志日志访问器角色 (roles/logging.viewAccessor) 才能提供相应的日志视图

  • roles/logging.privateLogViewer (Private Logs Viewer) 包含 roles/logging.viewer 所包含的所有权限,再加上读取 _Default 存储桶中的数据访问审核日志的权限。

    Private Logs Viewer 角色不会允许主帐号读取存储在用户定义的存储分区中的数据访问审核日志;如需在用户定义的存储分区中读取这些日志,主帐号需要日志查看访问权限角色 (roles/logging.viewAccessor) 以获得相应的日志视图

  • roles/logging.viewAccessor(日志视图访问器)向主帐号授予使用日志视图读取日志、资源键和值以及下载日志的权限。如需将此角色限制为特定存储分区中的视图,请使用 IAM 条件;如需查看示例,请参阅从存储分区读取日志

  • roles/logging.fieldAccessor(日志字段访问器)向主帐号授予对给定存储分区中受限 LogEntry 字段(如有)的访问权限。如需了解详情,请参阅字段级访问权限控制

  • roles/logging.logWriter(日志写入者)向主帐号授予将日志写入 Logging API 所需的最低权限。此角色不会授予查看权限。

  • roles/logging.bucketWriter(日志存储分区写入者)授予接收器的服务帐号将日志路由到特定存储分区所需的最低权限。有关向接收器的服务帐号授予权限的说明,请参阅设置目标位置权限

  • roles/logging.configWriter(日志配置写入者)用于向主帐号创建或修改日志记录配置(例如接收器、存储分区、视图、基于日志的指标或排除项)。如需使用日志浏览器执行这些操作,请添加 roles/logging.viewer

  • roles/viewer (Project Viewer) 与 roles/logging.viewer 相同。此角色可向主帐号授予对所有 Logging 功能的只读权限,但查看 _Default 存储分区中的数据访问审核日志除外。

  • roles/editor (Project Editor) 包括 roles/logging.viewer 的权限,外加写入日志条目、删除日志以及创建基于日志的指标的权限。该角色不会允许主帐号创建接收器或读取 _Default 存储分区中的数据访问审核日志。

  • roles/owner(项目所有者)用于向主帐号授予对 Logging 的完整访问权限(包括读取数据访问审核日志)。

正在授予角色

如需了解如何向主帐号授予角色,请参阅授予、更改和撤消访问权限

您可以为同一位用户授予多个角色。如需获取角色中包含的权限的列表,请参阅获取角色元数据

如果您尝试访问 Google Cloud 资源并缺少必要的权限,请与列为资源的 Owner 的主帐号联系。

自定义角色

要创建具备 Logging 权限的自定义角色,请执行以下操作:

如需详细了解自定义角色,请参阅了解 IAM 自定义角色

API 权限

Logging API 方法需要特定的 IAM 权限。下表列出了多种 API 方法所需的权限。

如果您对 Google Cloud 组织、结算帐号和文件夹中保存的日志感兴趣,那么请注意,这些资源有自己的 logssinks API 方法。下表中并未重复显示所有方法,而是单独显示了 projects 相关方法。

Logging 方法 所需权限 资源类型
billingAccounts.logs.* logging.logs.*(请参阅 projects.logs.* 结算帐号
billingAccounts.sinks.* logging.sinks.*(请参阅 projects.sinks.*。) 结算帐号
billingAccounts.locations.buckets.* logging.buckets.*(请参阅 projects.locations.buckets.*。) 结算帐号
entries.list logging.logEntries.list
logging.privateLogEntries.list
项目、组织、
文件夹、结算帐号
entries.tail logging.logEntries.list
logging.privateLogEntries.list
项目、组织、
文件夹、结算帐号
entries.write logging.logEntries.create 项目、组织、
文件夹、结算帐号
folders.logs.* logging.logs.*(请参阅 projects.logs.* 文件夹
folders.sinks.* logging.sinks.*(请参阅 projects.sinks.* 文件夹
folders.locations.buckets.* logging.buckets.*(请参阅 projects.locations.buckets.* 文件夹
monitoredResourceDescriptors.list (无) (无)
organizations.logs.* logging.logs.*(请参阅 projects.logs.* 组织
organizations.sinks.* logging.sinks.*(请参阅 projects.sinks.* 组织
organizations.locations.buckets.* logging.buckets.*(请参阅 projects.locations.buckets.* 组织
projects.exclusions.create logging.exclusions.create 项目
projects.exclusions.delete logging.exclusions.delete 项目
projects.exclusions.get logging.exclusions.get 项目
projects.exclusions.list logging.exclusions.list 项目
projects.exclusions.patch logging.exclusions.update 项目
projects.logs.list logging.logs.list 项目
projects.logs.delete logging.logs.delete 项目
projects.sinks.list logging.sinks.list 项目
projects.sinks.get logging.sinks.get 项目
projects.sinks.create logging.sinks.create 项目
projects.sinks.update logging.sinks.update 项目
projects.sinks.delete logging.sinks.delete 项目
projects.locations.buckets.list logging.buckets.list 项目
projects.locations.buckets.get logging.buckets.get 项目
projects.locations.buckets.patch logging.buckets.update 项目
projects.locations.buckets.create logging.buckets.create 项目
projects.locations.buckets.delete logging.buckets.delete 项目
projects.locations.buckets.undelete logging.buckets.undelete 项目
projects.metrics.list logging.logMetrics.list 项目
projects.metrics.get logging.logMetrics.get 项目
projects.metrics.create logging.logMetrics.create 项目
projects.metrics.update logging.logMetrics.update 项目
projects.metrics.delete logging.logMetrics.delete projects

Cloud Console 权限

下表列出了使用日志浏览器所需的权限。

在下表中,a.b.{x,y} 表示 a.b.xa.b.y

控制台活动 所需权限
最小只读权限 logging.logEntries.list
logging.logs.list
logging.logServiceIndexes.list
logging.logServices.list
resourcemanager.projects.get
添加查看数据访问审核日志的权限 添加logging.privateLogEntries.list
添加查看基于日志的指标的权限 添加 logging.logMetrics.{list, get}
添加查看接收器的权限 添加 logging.sinks.{list, get}
添加查看日志使用情况的权限 添加 logging.usage.get
添加排除日志的权限 添加 logging.exclusions.{list, create, get, update, delete}
添加使用接收器的权限 添加 logging.sinks.{list, create, get, update, delete}
添加创建基于日志的指标的权限 添加 logging.logMetrics.{list, create, get, update, delete}
添加保存查询的权限 添加 logging.queries.{list, create, get, update, delete}
添加共享查询的权限 添加logging.queries.share
添加使用最近查询的权限 添加 logging.queries.{create, list}

命令行权限

gcloud logging 命令由 IAM 权限控制。

如需使用任何 gcloud logging 命令,主帐号必须具有 serviceusage.services.use 权限。

主帐号还必须具有与日志的资源和用例相对应的 IAM 角色。如需了解详情,请参阅命令行界面权限

日志路由权限

如需了解如何在创建和管理接收器以路由日志时设置访问权限控制,请参阅配置接收器:设置目标位置权限

请注意,管理排除项过滤条件与配置接收器相集成。与管理接收器相关的所有权限(包括设置排除项过滤条件)都包含在 logging.sinks.* 权限中。创建包含管理排除项过滤器的权限的自定义角色时,请向角色添加 logging.sinks.* 权限,而不是 logging.exclusions.* 权限。

日志条目被路由到受支持的目标位置后,对日志副本的访问权限完全由目标的 IAM 权限和角色控制:Cloud Storage、BigQuery 或 Pub/Sub。

基于日志的指标权限

下面简要介绍了主帐号访问基于日志的指标所需的常见角色和权限:

  • Logs Configuration Writer (roles/logging.configWriter) 允许主帐号列出、创建、获取、更新和删除基于日志的指标。

  • 日志查看器 (roles/logging.viewer) 使主帐号可以查看现有指标。您还可以为自定义角色添加 logging.logMetrics.getlogging.logMetrics.list 权限。

  • 借助 Monitoring Viewer (roles/monitoring.viewer),主帐号可以读取 TimeSeries 数据。您还可以为自定义角色添加 monitoring.timeSeries.list 权限。

  • 日志记录管理员 (roles/logging.admin)、项目编辑者 (roles/editor) 和项目所有者 (roles/owner) 允许主帐号创建基于日志的指标 (logging.logMetrics.create)。

基于日志的提醒权限

下面汇总了主帐号创建和管理基于日志的提醒所需的常见角色和权限:

  • Logging Admin (roles/logging.admin)。具体而言,主帐号需要以下权限才能读取日志和管理 Logging 通知规则:

    • logging.logs.list
    • logging.logEntries.list
    • logging.notificationRules.create
    • logging.notificationRules.update

    这些权限包含在 Logging Admin 角色中。如果您不想授予此角色,请执行以下操作:

  • Monitoring AlertPolicy Editor (roles/monitoring.alertPolicyEditor) 和 Monitoring NotificationChannel Editor (roles/monitoring.notificationChannelEditor) 包含管理基于日志的提醒所使用的政策和通知渠道所需的权限:

    • monitoring.alertPolicies.{create, delete, get, list, update}
    • monitoring.notificationChannelDescriptors.{get, list}
    • monitoring.notificationChannels.{create, delete, get, list, sendVerificationCode, update, verify}

    Monitoring Editor (roles/monitoring.editor) 和 Monitoring Admin (roles/monitoring.admin) 角色也包含这些必要的权限。

    如果您不想授予其中任何角色,则可以创建自定义角色,并在 Monitoring AlertPolicy Editor 和 Monitoring NotificationChannel Editor 角色中添加权限。

Logging 访问权限范围

访问权限范围是为 Compute Engine 虚拟机实例上的服务帐号指定权限的旧版方法。

以下访问权限范围适用于 Logging API:

访问权限范围 授予的权限
https://www.googleapis.com/auth/logging.read roles/logging.viewer
https://www.googleapis.com/auth/logging.write roles/logging.logWriter
https://www.googleapis.com/auth/logging.admin 对 Logging API 的完整访问权限。
https://www.googleapis.com/auth/cloud-platform 对 Logging API 和其他所有已启用的 Google Cloud API 的完整访问权限。

如需了解如何使用此旧版方法设置服务帐号的访问权限级别,请参阅服务帐号权限