Mengontrol akses dengan IAM

Untuk menggunakan Monitoring, Anda harus memiliki izin Identity and Access Management (IAM) yang sesuai. Secara umum, setiap metode REST di API memiliki izin terkait. Untuk menggunakan metode tersebut, atau menggunakan fitur konsol yang mengandalkan metode tersebut, Anda harus memiliki izin untuk menggunakan metode yang sesuai. Izin tidak diberikan langsung kepada pengguna. Izin diberikan secara tidak langsung melalui peran, yang mengelompokkan beberapa izin untuk mempermudah pengelolaan mereka:

Peran untuk kombinasi izin umum telah ditentukan sebelumnya untuk Anda. Namun, Anda juga dapat membuat kombinasi izin sendiri dengan membuat peran khusus IAM.

Praktik terbaik

Sebaiknya buat grup Google untuk mengelola akses ke project Google Cloud:

Kontrol Layanan VPC

Selain IAM, Anda dapat menggunakan Kontrol Layanan VPC untuk mengontrol akses lebih lanjut ke pemantauan data.

Kontrol Layanan VPC memberikan keamanan tambahan untuk Cloud Monitoring guna membantu mengurangi risiko pemindahan data yang tidak sah. Dengan menggunakan Kontrol Layanan VPC, Anda dapat menambahkan cakupan metrik ke Perimeter Layanan yang melindungi resource dan layanan Cloud Monitoring dari permintaan yang berasal dari luar perimeter.

Untuk mempelajari lebih lanjut Perimeter Layanan, lihat dokumentasi konfigurasi Perimeter Layanan Kontrol Layanan VPC.

Informasi tentang dukungan Monitoring untuk Kontrol Layanan VPC, termasuk batasan umum, lihat dokumentasi Monitoring Kontrol Layanan VPC.

Memberikan akses ke Cloud Monitoring

Untuk mengelola peran IAM untuk akun utama, Anda dapat menggunakan halaman Identity and Access Management di Konsol Google Cloud atau Google Cloud CLI. Namun, Cloud Monitoring menyediakan antarmuka sederhana yang dapat Anda gunakan untuk mengelola peran khusus Monitoring, peran level project, serta peran umum untuk Cloud Logging dan Cloud Trace.

Untuk memberikan akses kepada akun utama ke Monitoring, Cloud Logging, atau Cloud Trace, atau memberikan peran level project, lakukan hal berikut:

Konsol

  1. Di panel navigasi konsol Google Cloud, pilih Monitoring, lalu pilih  Izin:

    Buka Izin

    Halaman Izin tidak menampilkan semua akun utama. Perintah ini hanya mencantumkan akun utama yang memiliki peran level project, atau peran yang khusus untuk Monitoring, Logging, atau Trace.

    Opsi di halaman ini memungkinkan Anda melihat semua akun utama yang perannya menyertakan izin Monitoring apa pun.

  2. Klik Berikan akses.

  3. Klik New principals dan masukkan nama pengguna untuk akun utama. Anda dapat menambahkan beberapa akun utama.

  4. Luaskan Pilih peran, pilih nilai dari menu Menurut produk atau layanan, lalu pilih peran dari menu Peran:

    Pilihan Menurut produk atau layanan Pemilihan peran Deskripsi
    Pemantauan Viewer Monitoring Melihat data Monitoring dan informasi konfigurasi. Misalnya, akun utama dengan peran ini dapat melihat dasbor kustom dan kebijakan pemberitahuan.
    Pemantauan Monitoring Editor Melihat data Monitoring, serta membuat dan mengedit konfigurasi. Misalnya, akun utama dengan peran ini dapat membuat dasbor kustom dan kebijakan pemberitahuan.
    Pemantauan Admin Pemantauan Lihat data Monitoring, buat dan edit konfigurasi, serta ubah cakupan metrik.
    Cloud Trace Pengguna Cloud Trace Akses penuh ke konsol Trace, akses baca ke trace, dan akses baca-tulis ke sink. Untuk mengetahui informasi selengkapnya, lihat Peran trace.
    Cloud Trace Admin Cloud Trace Akses penuh ke konsol Trace, akses baca-tulis ke trace, dan akses baca-tulis ke sink. Untuk mengetahui informasi selengkapnya, lihat Peran trace.
    Logging Viewer Log Akses lihat ke log. Untuk mengetahui informasi selengkapnya, lihat Peran logging.
    Logging Admin Logging Akses penuh ke semua fitur Cloud Logging. Untuk mengetahui informasi selengkapnya, lihat Peran logging.
    Project Pengakses Lihat-saja Akses lihat ke sebagian besar resource Google Cloud.
    Project Editor Melihat, membuat, memperbarui, dan menghapus sebagian besar resource Google Cloud.
    Project Owner Akses penuh ke sebagian besar resource Google Cloud.

  5. Opsional: Untuk memberikan peran lain kepada akun utama yang sama, klik Tambahkan peran lain, lalu ulangi langkah sebelumnya.

  6. Klik Save.

Langkah sebelumnya menjelaskan cara memberikan peran tertentu kepada akun utama dengan menggunakan halaman Monitoring di Konsol Google Cloud. Untuk peran ini, halaman ini juga mendukung opsi edit dan hapus:

  • Untuk menghapus peran pada akun utama, pilih kotak di samping akun utama, lalu klik Hapus akses.

  • Untuk mengedit peran untuk akun utama, klik Edit. Setelah memperbarui setelan, klik Save.

gcloud

Gunakan perintah gcloud projects add-iam-policy-binding untuk memberikan peran monitoring.viewer atau monitoring.editor.

Contoh:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Anda dapat mengonfirmasi peran yang diberikan menggunakan perintah gcloud projects get-iam-policy:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Peran yang telah ditetapkan

Bagian ini mencantumkan subkumpulan peran IAM yang telah ditentukan sebelumnya oleh Cloud Monitoring.

Peran pemantauan

Peran berikut memberikan izin umum untuk Monitoring:

Nama
Judul		 Menyertakan izin
roles/monitoring.viewer
Penampil Monitoring 		Memberikan akses hanya baca ke Monitoring di Konsol Google Cloud dan Cloud Monitoring API.
roles/monitoring.editor
Editor Pemantauan 		Memberikan akses baca-tulis ke Monitoring di Konsol Google Cloud dan Cloud Monitoring API.
roles/monitoring.admin
Admin Pemantauan 		Memberikan akses penuh ke Monitoring di Konsol Google Cloud dan akses baca tulis ke Cloud Monitoring API.

Peran berikut digunakan oleh akun layanan untuk akses hanya tulis:

Nama
Judul		 Deskripsi
roles/monitoring.metricWriter
Penulis Metrik Pemantauan

Peran ini ditujukan untuk akun layanan dan agen.
Tidak mengizinkan akses ke Monitoring di Konsol Google Cloud.
Mengizinkan penulisan data pemantauan ke cakupan metrik.

Peran kebijakan pemberitahuan

Peran berikut memberikan izin untuk kebijakan pemberitahuan:

Nama
Judul		 Deskripsi
roles/monitoring.alertPolicyViewer
Pemantauan AlertPolicy Viewer		 Memberikan akses hanya baca ke kebijakan pemberitahuan.
roles/monitoring.alertPolicyEditor
Monitoring Editor AlertPolicy		 Memberikan akses baca-tulis ke kebijakan pemberitahuan.

Peran dasbor

Peran berikut memberikan izin hanya untuk dasbor:

Nama
Judul		 Deskripsi
roles/monitoring.dashboardViewer
Viewer Konfigurasi Dasbor Monitoring		 Memberikan akses hanya baca ke konfigurasi dasbor.
roles/monitoring.dashboardEditor
Editor Konfigurasi Dasbor Pemantauan		 Memberikan akses baca-tulis ke konfigurasi dasbor.

Peran insiden

Peran berikut memberikan izin hanya untuk insiden:

Nama
Judul		 Deskripsi
roles/monitoring.cloudConsoleIncidentViewer
Memantau Viewer Insiden Konsol Cloud		 Memberikan akses untuk melihat insiden dengan menggunakan Konsol Google Cloud.
roles/monitoring.cloudConsoleIncidentEditor
Memantau Editor Insiden Konsol Cloud		 Memberikan akses untuk melihat, mengonfirmasi, dan menutup insiden dengan menggunakan konsol Google Cloud.

Untuk mengetahui informasi tentang cara menyelesaikan error izin IAM saat melihat insiden, lihat Tidak dapat melihat detail insiden karena error izin.

Peran saluran notifikasi

Peran berikut memberikan izin hanya untuk saluran notifikasi:

Nama
Judul		 Deskripsi
roles/monitoring.notificationChannelViewer
Memantau NotificationChannel Viewer		 Memberikan akses hanya baca ke saluran notifikasi.
roles/monitoring.notificationChannelEditor
Memantau Editor NotificationChannel		 Memberikan akses baca-tulis ke saluran notifikasi.

Menunda peran notifikasi

Peran berikut memberikan izin untuk menunda notifikasi:

Nama
Judul		 Deskripsi
roles/monitoring.snoozeViewer
Memantau Penampil Tunda		 Memberikan akses hanya baca ke penundaan.
roles/monitoring.snoozeEditor
Editor Tunda Pemantauan		 Memberikan akses baca-tulis untuk penundaan.

Peran pemantauan layanan

Peran berikut memberikan izin untuk mengelola layanan:

Nama
Judul		 Deskripsi
roles/monitoring.servicesViewer
Viewer Layanan Pemantauan		 Memberikan akses hanya baca ke layanan.
roles/monitoring.servicesEditor
Editor Layanan Pemantauan		 Memberikan akses baca-tulis ke layanan.

Untuk informasi selengkapnya tentang pemantauan layanan, lihat Pemantauan SLO.

Peran konfigurasi cek uptime

Peran berikut memberikan izin hanya untuk konfigurasi cek uptime:

Nama
Judul		 Deskripsi
roles/monitoring.uptimeCheckConfigViewer
Viewer Konfigurasi Cek Uptime Pemantauan		 Memberikan akses hanya baca ke konfigurasi cek uptime.
roles/monitoring.uptimeCheckConfigEditor
Editor Konfigurasi Cek Uptime Pemantauan		 Memberikan akses baca-tulis ke konfigurasi cek uptime.

Peran konfigurasi cakupan metrik

Peran berikut memberikan izin umum untuk cakupan metrik:

Nama
Judul		 Deskripsi
roles/monitoring.metricsScopesViewer
Viewer cakupan metrik pemantauan		 Memberikan akses hanya baca ke cakupan metrik.
roles/monitoring.metricsScopesAdmin
Cakupan metrik pemantauan Admin		 Memberikan akses baca-tulis ke cakupan metrik.

Izin untuk peran bawaan

Bagian ini mencantumkan izin yang ditetapkan ke peran bawaan yang terkait dengan Monitoring.

Untuk mengetahui informasi lebih lanjut tentang peran yang telah ditetapkan, lihat IAM: Peran dan izin. Untuk mendapatkan bantuan dalam memilih peran bawaan yang paling sesuai, baca bagian Memilih peran bawaan.

Izin untuk peran Monitoring

Role Permissions

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Izin untuk peran Ops Config Monitoring

Role Permissions

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Izin untuk peran Stackdriver

Role Permissions

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Memantau izin yang termasuk dalam peran Google Cloud

Peran Google Cloud mencakup izin berikut:

Nama
Judul		 Menyertakan izin
roles/viewer
Pelihat 		Izin Monitoring sama dengan izin yang ada di roles/monitoring.viewer.
roles/editor
Editor

Izin Monitoring sama dengan izin yang ada di roles/monitoring.editor dengan pengecualian izin stackdriver.projects.edit. Peran roles/editor tidak menyertakan izin stackdriver.projects.edit.

Peran ini tidak memberikan izin untuk mengubah cakupan metrik. Untuk mengubah cakupan metrik saat menggunakan API, peran Anda harus menyertakan izin monitoring.metricsScopes.link. Untuk mengubah cakupan metrik saat menggunakan Konsol Google Cloud, peran Anda harus menyertakan izin monitoring.metricsScopes.link atau Anda harus memiliki peran roles/monitoring.editor.
roles/owner
Pemilik 		Izin Monitoring sama dengan izin yang ada di roles/monitoring.admin.

Peran khusus

Sebaiknya buat peran khusus jika ingin memberi akun utama kumpulan izin yang lebih terbatas daripada peran yang diberikan dengan peran bawaan. Misalnya, jika Anda menyiapkan Assured Workloads karena Anda memiliki persyaratan residensi data atau Impact Level 4 (IL4), Anda tidak boleh menggunakan cek uptime karena tidak ada jaminan bahwa data cek uptime disimpan di lokasi geografis tertentu. Untuk mencegah penggunaan cek uptime, buat peran yang tidak menyertakan izin apa pun dengan awalan monitoring.uptimeCheckConfigs.

Untuk membuat peran khusus dengan izin Monitoring, lakukan hal berikut:

Untuk mengetahui informasi selengkapnya tentang peran khusus, buka Memahami peran khusus IAM.

Cakupan akses Compute Engine

Cakupan akses adalah metode lama dalam menentukan izin untuk instance VM Compute Engine. Cakupan akses berikut berlaku untuk Monitoring:

Cakupan akses Izin yang diberikan
https://www.googleapis.com/auth/monitoring.read Izin yang sama seperti di roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write Izin yang sama seperti di roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Akses penuh ke Monitoring.
https://www.googleapis.com/auth/cloud-platform Akses penuh ke semua Cloud API yang diaktifkan.

Untuk mengetahui detail selengkapnya, buka Cakupan akses.

Praktik terbaik. Sebaiknya berikan cakupan akses yang paling andal ke instance VM Anda (cloud-platform), lalu gunakan peran IAM untuk membatasi akses ke API dan operasi tertentu. Untuk mengetahui detailnya, buka Izin akun layanan.