In diesem Dokument werden die von Cloud Monitoring verwendeten IAM-Rollen und -Berechtigungen (Identity and Access Management) beschrieben. Es richtet sich an Administratoren, die Rollen und Berechtigungen konfigurieren und erteilen.
Best Practice
Wir empfehlen, Google-Gruppen zu erstellen, um den Zugriff auf Google Cloud-Projekte zu verwalten:
- Weitere Informationen finden Sie unter Gruppen in der Google Cloud Console verwalten.
- Informationen zum Festlegen von Limits für Rollen finden Sie unter Limits für Rollen festlegen.
VPC Service Controls
Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.
VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.
Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.
Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.
Zugriff auf Cloud Monitoring gewähren
IAM-Rollen für Hauptkonten können Sie in der Google Cloud Console auf der Seite „Identity and Access Management“ verwalten. Cloud Monitoring bietet jedoch eine vereinfachte Benutzeroberfläche, mit der Sie Ihre Monitoring-spezifischen Rollen, Rollen auf Projektebene und die gängigen Rollen für Cloud Logging und Cloud Trace verwalten können.
So gewähren Sie Hauptkonten Zugriff auf Monitoring, Cloud Logging oder Cloud Trace oder eine Rolle auf Projektebene:
- Wählen Sie in der Google Cloud Console Monitoring aus oder klicken Sie auf die folgende Schaltfläche:
Zum Monitoring Wählen Sie im Navigationsbereich Berechtigungen aus.
Auf der Seite Berechtigungen werden nicht alle Hauptkonten angezeigt. Es werden nur die Hauptkonten aufgeführt, die eine Rolle auf Projektebene oder eine Rolle haben, die speziell für Monitoring, Logging oder Trace gilt.
Mit den Optionen auf dieser Seite können Sie alle Hauptkonten ansehen, deren Rollen eine beliebige Monitoring-Berechtigung enthalten.
Klicken Sie auf Zugriff erlauben.
Klicken Sie auf Neue Hauptkonten und geben Sie den Nutzernamen für das Hauptkonto ein. Sie können mehrere Hauptkonten hinzufügen.
Maximieren Sie arrow_drop_down Rolle auswählen, wählen Sie einen Wert aus dem Menü Nach Produkt oder Dienst und dann eine Rolle aus dem Menü Rollen aus:
Auswahl von Nach Produkt oder Dienst Auswahl von Rollen Beschreibung Monitoring Monitoring-Betrachter Monitoring-Daten und Konfigurationsinformationen ansehen. Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien aufrufen. Monitoring Monitoring-Editor Monitoring-Daten aufrufen und Konfigurationen erstellen und bearbeiten. Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien erstellen. Monitoring Monitoring-Administrator Monitoring-Daten aufrufen, Konfigurationen erstellen und bearbeiten und den Messwertbereich ändern. Cloud Trace Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen. Cloud Trace Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole, Lese-/Schreibzugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen. Logging Loganzeige Lesezugriff auf Logs. Weitere Informationen finden Sie unter Logging-Rollen. Logging Logging-Administrator Vollständiger Zugriff auf alle Features von Cloud Logging. Weitere Informationen finden Sie unter Logging-Rollen. Projekt Betrachter Lesezugriff auf die meisten Google Cloud-Ressourcen. Projekt Bearbeiter Kann die meisten Google Cloud-Ressourcen ansehen, erstellen, aktualisieren und löschen. Projekt Inhaber Vollständiger Zugriff auf die meisten Google Cloud-Ressourcen. Optional: Wenn Sie demselben Hauptkonto eine weitere Rolle zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und wiederholen Sie den vorherigen Schritt.
Klicken Sie auf Speichern.
In den vorherigen Schritten wird beschrieben, wie einem Hauptkonto mithilfe von Monitoring-Seiten in der Google Cloud Console eine Rolle zugewiesen wird. Für diese Rollen unterstützt diese Seite auch die Optionen zum Bearbeiten und Löschen:
Wenn Sie Rollen für ein Hauptkonto entfernen möchten, klicken Sie das Kästchen neben dem Hauptkonto an und klicken Sie dann auf Zugriff entfernen.
Klicken Sie zum Bearbeiten der Rollen für ein Hauptkonto auf edit Bearbeiten. Nachdem Sie die Einstellungen aktualisiert haben, klicken Sie auf Speichern.
Monitoring IAM – Übersicht
Um Monitoring verwenden zu können, benötigen Sie die entsprechenden IAM-Berechtigungen.
Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Sie müssen die jeweilige Berechtigung haben, damit Sie die entsprechende Methode verwenden können. Berechtigungen werden Nutzern nicht direkt gewährt, sondern indirekt über Rollen. In Rollen sind mehrere Berechtigungen zusammengefasst, was die Verwaltung vereinfacht. Weitere Informationen zu diesen Konzepten finden Sie unter Konzepte der Zugriffsverwaltung.
Rollen für gängige Kombinationen von Berechtigungen sind für Sie vordefiniert. Sie können jedoch auch eigene Kombinationen von Berechtigungen erstellen. Dazu erstellen Sie benutzerdefinierte IAM-Rollen.
Vordefinierte Rollen
Die folgenden IAM-Rollen sind von Cloud Monitoring vordefiniert. Durch sie werden nur Berechtigungen für Monitoring gewährt.
Monitoring
Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.viewerMonitoring-Betrachter |
Gewährt Lesezugriff auf Monitoring in der Google Cloud Console und in der API. |
roles/monitoring.editorMonitoring-Bearbeiter |
Gewährt Lese- und Schreibzugriff auf Monitoring in der Google Cloud Console und API. gewährt bei der Verwendung der Google Cloud Console Lese-/Schreibzugriff auf einen Messwertbereich. Schreibzugriff auf einen Messwertbereich gewährt die Berechtigung, diesem Messwertbereich überwachte Google Cloud-Projekte hinzuzufügen oder zu entfernen. |
roles/monitoring.adminMonitoring-Administrator |
Gewährt vollständigen Zugriff auf Monitoring in der Google Cloud Console und in der API und gewährt Lese-/Schreibzugriff auf einen Messwertbereich. Schreibzugriff auf einen Messwertbereich gewährt die Berechtigung, diesem Messwertbereich überwachte Google Cloud-Projekte hinzuzufügen oder zu entfernen. |
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.metricWriterMonitoring-Messwert-Autor |
Ermöglicht das Schreiben von Monitoringdaten in einen Messwertbereich. Er gewährt keinen Zugriff auf das Monitoring in der Google Cloud Console. Diese Rolle ist für Dienstkonten und Agents vorgesehen. |
Benachrichtigungsrichtlinien
Die folgenden Rollen gewähren Berechtigungen für Benachrichtigungsrichtlinien:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.alertPolicyViewerBetrachter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lesezugriff auf Benachrichtigungsrichtlinien. |
roles/monitoring.alertPolicyEditorBearbeiter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lese-/Schreibzugriff auf Benachrichtigungsrichtlinien. |
Dashboards
Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.dashboardViewerBetrachter von Monitoring-Dashboard-Konfigurationen |
Gewährt Lesezugriff auf Dashboard-Konfigurationen. |
roles/monitoring.dashboardEditorBearbeiter der Monitoring-Dashboard-Konfiguration |
Gewährt Lese-/Schreibzugriff auf Dashboard-Konfigurationen. |
Vorfälle
Die folgenden Rollen gewähren allgemeine Berechtigungen zum Ansehen von Vorfällen:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.viewerMonitoring-Betrachter |
Gewährt Zugriff zum Ansehen von Vorfällen. |
roles/monitoring.editorMonitoring-Bearbeiter |
Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen. |
roles/monitoring.adminMonitoring-Administrator |
Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen. |
Zum Aufrufen der Details eines Vorfalls benötigen Sie mindestens die Identity and Access Management-Rolle von roles/monitoring.viewer.
Weitere Informationen finden Sie unter Details zu Vorfällen können aufgrund eines Berechtigungsfehlers nicht angezeigt werden.
Benachrichtigungskanäle
Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.notificationChannelViewerBetrachter von Monitoring-Benachrichtigungskanälen |
Gewährt Lesezugriff auf Benachrichtigungskanäle. |
roles/monitoring.notificationChannelEditorBearbeiter von Monitoring-Benachrichtigungskanälen |
Gewährt Lese-/Schreibzugriff auf Benachrichtigungskanäle. |
Benachrichtigungen zurückstellen
Die folgenden Rollen gewähren Berechtigungen für das Zurückstellen von Benachrichtigungen:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.snoozeViewerBetrachter der Schlummerfunktion überwachen |
Gewährt Lesezugriff auf Schlummerfunktionen. |
roles/monitoring.snoozeEditorBeobachter für Schlummerfunktion für Monitoring verwenden |
Gewährt Lese-/Schreibzugriff auf Schlummerfunktionen. |
Monitoring von Diensten
Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.servicesViewerBetrachter von Monitoring-Diensten |
Gewährt Lesezugriff auf Dienste. |
roles/monitoring.servicesEditorBearbeiter von Monitoring-Diensten |
Gewährt Lese-/Schreibzugriff auf Dienste. |
Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.
Verfügbarkeitsdiagnosen-Konfigurationen
Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.uptimeCheckConfigViewerBetrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lesezugriff auf Konfigurationen der Verfügbarkeitsdiagnose. |
roles/monitoring.uptimeCheckConfigEditorBearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosen-Konfigurationen. |
Konfigurationen des Messwertbereichs
Die folgenden Rollen gewähren allgemeine Berechtigungen für Messwertbereiche:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.metricsScopesViewerBetrachter von Monitoring-Messwertbereichen |
Gewährt Lesezugriff auf Messwertbereiche. |
roles/monitoring.metricsScopesAdminAdministrator von Monitoring-Messwertbereichen |
Gewährt Lese-/Schreibzugriff auf Messwertbereiche. |
Google Cloud
Durch die folgenden Rollen werden Berechtigungen für viele Dienste und Ressourcen in der Google Cloud gewährt, einschließlich Monitoring:
| Name Titel |
Berechtigungen |
|---|---|
roles/viewerBetrachter |
Die Monitoring-Berechtigungen sind genau die Berechtigungen in roles/monitoring.viewer.
|
roles/editorBearbeiter |
Die Monitoring-Berechtigungen sind dieselben wie die in Diese Rolle berechtigt nicht zum Ändern eines Messwertbereichs.
Wenn Sie einen Messwertbereich bei Verwendung der API ändern möchten, muss Ihre Rolle die Berechtigung |
roles/ownerInhaber |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin.
|
Benutzerdefinierte Rollen
Sie können auch eigene, benutzerdefinierte Rollen erstellen, die bestimmte Berechtigungen beinhalten. Weitere Informationen zu Rollen und Berechtigungen finden Sie auf dieser Seite unter Berechtigungen und Rollen und Benutzerdefinierte Rollen.
Berechtigungen und Rollen
In diesem Abschnitt werden die IAM-Berechtigungen und -Rollen für Monitoring aufgeführt.
API-Berechtigungen
Für jede Monitoring API-Methode ist eine bestimmte IAM-Berechtigung erforderlich, wie in der folgenden Tabelle angegeben.
| Monitoring API-Methode | Berechtigung | Ressourcentyp |
|---|---|---|
projects.alertPolicies.create |
monitoring.alertPolicies.create |
Projekt |
projects.alertPolicies.delete |
monitoring.alertPolicies.delete |
AlertPolicy |
projects.alertPolicies.get |
monitoring.alertPolicies.get |
AlertPolicy |
projects.alertPolicies.list |
monitoring.alertPolicies.list |
Projekt |
projects.alertPolicies.patch |
monitoring.alertPolicies.update |
AlertPolicy |
projects.dashboards.create |
monitoring.dashboards.create |
Projekt |
projects.dashboards.delete |
monitoring.dashboards.delete |
Projekt |
projects.dashboards.get |
monitoring.dashboards.get |
Projekt |
projects.dashboards.list |
monitoring.dashboards.list |
Projekt |
projects.dashboards.patch |
monitoring.dashboards.update |
Projekt |
projects.groups.create |
monitoring.groups.create |
Projekt |
projects.groups.delete |
monitoring.groups.delete |
Group |
projects.groups.get |
monitoring.groups.get |
Group |
projects.groups.list |
monitoring.groups.list |
Projekt |
projects.groups.update |
monitoring.groups.update |
Group |
projects.groups.members.list |
monitoring.groups.get |
Group |
projects.metricDescriptors.create |
monitoring.metricDescriptors.create |
Projekt |
projects.metricDescriptors.delete |
monitoring.metricDescriptors.delete |
MetricDescriptor |
projects.metricDescriptors.get |
monitoring.metricDescriptors.get |
MetricDescriptor |
projects.metricDescriptors.list |
monitoring.metricDescriptors.list |
Projekt |
projects.monitoredResourceDescriptors.get |
monitoring.monitoredResourceDescriptors.get |
MonitoredResourceDescriptor |
projects.monitoredResourceDescriptors.list |
monitoring.monitoredResourceDescriptors.list |
Projekt |
projects.notificationChannelDescriptors.get |
monitoring.notificationChannelDescriptors.get |
NotificationChannelDescriptor |
projects.notificationChannelDescriptors.list |
monitoring.notificationChannelDescriptors.list |
Projekt |
projects.notificationChannels.create |
monitoring.notificationChannels.create |
Projekt |
projects.notificationChannels.delete |
monitoring.notificationChannels.delete |
NotificationChannel |
projects.notificationChannels.get |
monitoring.notificationChannels.get |
NotificationChannel |
projects.notificationChannels.getVerificationCode |
monitoring.notificationChannels.getVerificationCode |
NotificationChannel |
projects.notificationChannels.list |
monitoring.notificationChannels.list |
Projekt |
projects.notificationChannels.patch |
monitoring.notificationChannels.update |
NotificationChannel |
projects.notificationChannels.sendVerificationCode |
monitoring.notificationChannels.sendVerificationCode |
NotificationChannel |
projects.notificationChannels.verify |
monitoring.notificationChannels.verify |
NotificationChannel |
projects.services.create |
monitoring.services.create |
Projekt |
projects.services.delete |
monitoring.services.delete |
Service |
projects.services.get |
monitoring.services.get |
Service |
projects.services.list |
monitoring.services.list |
Projekt |
projects.services.patch |
monitoring.services.update |
Service |
projects.services.serviceLevelObjectives.create |
monitoring.slos.create |
Projekt |
projects.services.serviceLevelObjectives.delete |
monitoring.slos.delete |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.get |
monitoring.slos.get |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.list |
monitoring.slos.list |
Projekt |
projects.services.serviceLevelObjectives.patch |
monitoring.slos.update |
ServiceLevelObjective |
projects.timeSeries.create |
monitoring.timeSeries.create |
Projekt |
projects.timeSeries.list |
monitoring.timeSeries.list |
Projekt, Ordner, Organisation |
projects.timeSeries.query |
monitoring.timeSeries.list |
Projekt |
projects.uptimeCheckConfigs.create |
monitoring.uptimeCheckConfigs.create |
UptimeCheckConfig |
projects.uptimeCheckConfigs.delete |
monitoring.uptimeCheckConfigs.delete |
UptimeCheckConfig |
projects.uptimeCheckConfigs.get |
monitoring.uptimeCheckConfigs.get |
UptimeCheckConfig |
projects.uptimeCheckConfigs.list |
monitoring.uptimeCheckConfigs.list |
UptimeCheckConfig |
projects.uptimeCheckConfigs.patch |
monitoring.uptimeCheckConfigs.update |
UptimeCheckConfig |
locations.global.metricsScopes.get |
resourcemanager.projects.get |
Projekt |
locations.global.metricsScopes/listMetricScopesByMonitoredProject |
resourcemanager.projects.get |
Projekt |
locations.global.metricsScopes.projects.create |
monitoring.metricsScopes.link |
Projekt |
locations.global.metricsScopes.projects.delete |
monitoring.metricsScopes.link |
Projekt |
Konsolenberechtigungen für Monitoring
Für jedes Monitoring-Feature in der Google Cloud Console ist die Berechtigung für die API erforderlich, mit der das Feature implementiert wird. Für die Fähigkeit zum Suchen in Gruppen sind beispielsweise Berechtigungen für die Methoden list und get für Gruppen und Gruppenmitglieder erforderlich.
Sie können an Funktionalität einbüßen, wenn die erforderlichen Berechtigungen widerrufen werden.
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die zum Verwenden des Monitorings in der Google Cloud Console erforderlich sind:
| Aktivität | Erforderliche Berechtigungen | Für Ressourcentyp |
|---|---|---|
| Lesezugriff | Die Berechtigungen, die in der Rolle roles/monitoring.viewer enthalten sind. |
project. |
| Lese- und Schreibzugriff auf die Konsole | Die Berechtigungen, die in der Rolle roles/monitoring.editor enthalten sind. |
project. |
| Vollständiger Zugriff auf die Console | Die Berechtigungen, die in der Rolle roles/monitoring.admin enthalten sind. |
project. |
Rollen
Die folgende Tabelle enthält die IAM-Rollen, die Zugriff auf Monitoring gewähren, sowie die mit der jeweiligen Rolle verknüpften Berechtigungen.
Einige dieser Rollen bauen aufeinander auf: Die Rolle roles/monitoring.editor beinhaltet beispielsweise alle Berechtigungen der Rolle roles/monitoring.viewer und darüber hinaus zusätzliche Berechtigungen.
Rollen können nur auf Projektebene zugewiesen werden.
Monitoring
Die Monitoring-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.viewerMonitoring-Betrachter |
cloudnotifications.activities.listmonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.dashboards.getmonitoring.dashboards.listmonitoring.groups.getmonitoring.groups.listmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.listmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listopsconfigmonitoring.resourceMetadata.listresourcemanager.projects.getresourcemanager.projects.liststackdriver.projects.get
stackdriver.resourceMetadata.list |
roles/monitoring.editorMonitoring-Bearbeiter |
cloudnotifications.activities.listmonitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.updatemonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.updatemonitoring.groups.createmonitoring.groups.deletemonitoring.groups.getmonitoring.groups.listmonitoring.groups.updatemonitoring.metricDescriptors.createmonitoring.metricDescriptors.deletemonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verifymonitoring.publicWidgets.createmonitoring.publicWidgets.deletemonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.publicWidgets.updatemonitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.updatemonitoring.snoozes.createmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.snoozes.updatemonitoring.timeSeries.createmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.updateopsconfigmonitoring.resourceMetadata.writeopsconfigmonitoring.resourceSnapshot.createresourcemanager.projects.getresourcemanager.projects.listserviceusage.services.enablestackdriver.projects.editstackdriver.projects.getstackdriver.resourceMetadata.write
|
roles/monitoring.adminMonitoring-Administrator |
Die Berechtigungen in roles/monitoring.editor sowie
monitoring.notificationChannels.getVerificationCodemonitoring.metricsScopes.link |
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.metricWriterMonitoring-Messwertautor |
monitoring.metricDescriptors.createmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.timeSeries.create
|
Benachrichtigungsrichtlinien
Die Benachrichtigungsrichtlinien-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.alertPolicyViewerBetrachter von Monitoring AlertPolicy |
monitoring.alertPolicies.getmonitoring.alertPolicies.list |
roles/monitoring.alertPolicyEditorBearbeiter von Monitoring-Benachrichtigungsrichtlinien |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.update |
Dashboards
Die Dashboard-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.dashboardViewerBetrachter von Monitoring-Dashboard-Konfigurationen |
monitoring.dashboards.getmonitoring.dashboards.list |
roles/monitoring.dashboardEditorBearbeiter von Monitoring-Dashboard-Konfigurationen |
monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.update |
Benachrichtigungskanäle
Die Benachrichtigungskanal-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.notificationChannelViewerBetrachter von Monitoring-Benachrichtigungskanälen |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.list |
roles/monitoring.notificationChannelEditorBearbeiter von Monitoring-Benachrichtigungskanälen |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verify |
Benachrichtigungen zurückstellen
Die Rollen für die Schlummerfunktion enthalten die Berechtigungen, die zum Aufrufen oder Erstellen von Schlummerfunktionen erforderlich sind.
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.snoozeViewerBetrachter der Schlummerfunktion überwachen |
monitoring.snoozes.getmonitoring.snoozes.list |
roles/monitoring.snoozeEditorEditor für die Schlummerfunktion überwachen |
monitoring.snoozes.createmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.snoozes.update |
Monitoring von Diensten
Die Rollen für Dienst-Monitoring beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.servicesViewerBetrachter von Monitoring-Diensten |
monitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.list |
roles/monitoring.servicesEditorMonitoring Services-Bearbeiter |
monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.update |
Verfügbarkeitsdiagnosen-Konfigurationen
Die Rollen für Verfügbarkeitsdiagnosen-Konfigurationen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.uptimeCheckConfigViewerBetrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
monitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.list |
roles/monitoring.uptimeCheckConfigEditorBearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
monitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.update |
Konfiguration von Messwertbereichen
Die Konfigurationsrollen für den Messwertbereich umfassen die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.metricsScopesViewerBetrachter von Monitoring-Messwertbereichen |
resourcemanager.projects.getresourcemanager.projects.list |
roles/monitoring.metricsScopesAdminMonitoring-Umfang auf Verwaltungsebene Überwachte Projekte hinzufügen und entfernen. |
resourcemanager.projects.getresourcemanager.projects.listmonitoring.metricsScopes.link |
Google Cloud
Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/viewerBetrachter |
Die Monitoring-Berechtigungen sind genau die Berechtigungen in roles/monitoring.viewer.
|
roles/editorBearbeiter |
Die Monitoring-Berechtigungen sind dieselben wie die in Diese Rolle berechtigt nicht zum Ändern eines Messwertbereichs.
Wenn Sie einen Messwertbereich bei Verwendung der API ändern möchten, muss Ihre Rolle die Berechtigung |
roles/ownerInhaber |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin.
|
IAM-Rollen zuweisen
Die Projektinhaber, Bearbeiter und Standarddienstkonten für Compute Engine und App Engine haben bereits die erforderlichen Berechtigungen. Bei anderen Nutzerkonten kann es jedoch erforderlich sein, diese Rollen explizit zuzuweisen.
Damit über ein Nutzerkonto beispielsweise mithilfe der Monitoring API Messwertdeskriptoren gelesen oder geschrieben werden können, muss der Nutzer die entsprechenden monitoring.metricDescriptors.*-IAM-Berechtigungen haben. Sie können diese bereitstellen, indem Sie die vordefinierten Rollen Monitoring Viewer (roles/monitoring.viewer, Monitoring-Betrachter) und Monitoring Editor (roles/monitoring.editor, Monitoring-Bearbeiter) erteilen.
Weitere Informationen finden Sie unter API-Berechtigungen.
Diese Berechtigungen können entweder über die Google Cloud CLI oder die Google Cloud Console (Google Cloud Console) gewährt werden.
Google Cloud CLI
Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um die Rolle monitoring.viewer oder monitoring.editor zu erteilen.
Beispiel:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Mit dem Befehl gcloud projects get-iam-policy werden die zugewiesenen Rollen bestätigt:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Google Cloud Console
Rufen Sie die Google Cloud Console auf:
Klicken Sie falls nötig auf die Drop-down-Liste der Google Cloud-Projekte und wählen Sie den Namen des Projekts aus, für das Sie die API aktivieren möchten.
Klicken Sie auf Menüarrow_drop_down, um das Navigationsmenü zu maximieren.
Klicken Sie auf IAM & Verwaltung.
Wenn der Nutzer Mitglied ist, klicken Sie auf Bearbeiten edit, um seine Berechtigungen zu ändern. Sie können die vorhandene Rolle ändern oder eine zusätzliche Rolle hinzufügen. Um die Änderungen zu speichern, klicken Sie auf Speichern.
Wenn der Nutzer kein Mitglied ist, gehen Sie so vor:
- Klicken Sie auf Add (Hinzufügen).
- Geben Sie in das Feld Neue Mitglieder den Nutzernamen ein.
- Klicken Sie in Rolle auswählen auf Menü arrow_drop_down.
- Geben Sie in der Filterleiste filter_list die entsprechende Rolle ein:
- Monitoring Editor (Monitoring-Bearbeiter) gewährt Lese- und Schreibzugriff.
- Monitoring Viewer (Monitoring-Betrachter) gewährt nur Lesezugriff.
Benutzerdefinierte Rollen
Wenn Sie einem Hauptkonto nur eine begrenzte Anzahl von Berechtigungen gewähren möchten, gewähren Sie ihm eine benutzerdefinierte Rolle.
Wenn Sie beispielsweise Assured Workloads einrichten, weil Sie Anforderungen an die Datenresistenz oder Auswirkungen von Stufe 4 haben, sollten Sie keine Verfügbarkeitsdiagnosen verwenden, da es keine Garantie dafür gibt, dass Verfügbarkeitsdiagnosen an einem bestimmten geografischen Ort gespeichert werden.
Erstellen Sie eine Rolle, die keine Berechtigungen mit dem Präfix monitoring.uptimeCheckConfigs enthält, um die Verwendung von Verfügbarkeitsdiagnosen zu verhindern.
So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:
Wählen Sie für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, eine der Berechtigungen aus dem Abschnitt API-Berechtigungen aus.
Wählen Sie für eine Rolle, die Berechtigungen für Monitoring in der Google Cloud Console gewährt, eine der Berechtigungsgruppen aus dem Abschnitt Konsolenberechtigungen für Monitoring aus.
Beziehen Sie für eine Rolle, mit der Monitoring-Daten geschrieben werden können, die Berechtigungen der Rolle
roles/monitoring.metricWriteraus dem Abschnitt Rollen ein.
Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.
Zugriffsbereiche für Compute Engine
Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:
| Zugriffsbereich | Gewährte Berechtigungen |
|---|---|
| https://www.googleapis.com/auth/monitoring.read | Die gleichen Berechtigungen wie in roles/monitoring.viewer. |
| https://www.googleapis.com/auth/monitoring.write | Die gleichen Berechtigungen wie in roles/monitoring.metricWriter. |
| https://www.googleapis.com/auth/monitoring | Vollzugriff auf Monitoring |
| https://www.googleapis.com/auth/cloud-platform | Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs |
Weitere Informationen finden Sie unter Zugriffsbereiche.
Best Practice: Da Dienstkonto-IAM-Rollen leicht zu konfigurieren und zu ändern sind, empfiehlt es sich, Ihren VM-Instanzen den umfassendsten Zugriffsbereich (cloud-platform) zu geben und dann über IAM-Rollen den Zugriff auf bestimmte APIs und Vorgänge. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.