Für die Verwendung von Monitoring benötigen Sie die entsprechenden Berechtigungen zur Identitäts- und Zugriffsverwaltung (IAM) Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Um die Methode oder eine Konsolenfunktion zu verwenden, die auf der Methode basiert, müssen Sie Sie sind berechtigt, die entsprechende Methode zu verwenden. Berechtigungen werden Nutzern nicht direkt gewährt. werden Berechtigungen gewährt, indirekt über Rollen, die mehrere Berechtigungen umfassen, um deren Verwaltung zu erleichtern. einfacher:
- Informationen zur Zugriffssteuerung finden Sie unter Konzepte in Verbindung mit der Zugriffsverwaltung.
- Informationen zum Zuweisen von Rollen zu Hauptkonten finden Sie unter Zugriff auf Cloud Monitoring gewähren.
Rollen für gängige Berechtigungskombinationen sind für Sie vordefiniert. Sie können jedoch können Sie auch eigene Kombinationen von Berechtigungen erstellen, Erstellen von benutzerdefinierten IAM-Rollen
Best Practice
Wir empfehlen Ihnen, Google-Gruppen zu erstellen, um den Zugriff auf Google Cloud-Projekte:
- Weitere Informationen finden Sie unter Gruppen in der Google Cloud Console verwalten
- Informationen zum Festlegen von Beschränkungen für Rollen finden Sie unter Limits für das Gewähren von Rollen festlegen
- Eine vollständige Liste der IAM-Rollen und -Berechtigungen finden Sie unter Referenz zu einfachen und vordefinierten IAM-Rollen
VPC Service Controls
Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.
VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.
Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.
Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.
Zugriff auf Cloud Monitoring gewähren
Zum Verwalten von IAM-Rollen für Hauptkonten können Sie die Seite „Identity and Access Management“ in der Google Cloud Console oder der Google Cloud CLI Cloud Monitoring bietet jedoch eine vereinfachte Benutzeroberfläche, Monitoring-spezifische Rollen, Rollen auf Projektebene, und die gängigen Rollen für Cloud Logging und Cloud Trace.
Um Hauptkonten Zugriff auf Monitoring, Cloud Logging, oder Cloud Trace ausführen oder eine Rolle auf Projektebene zuweisen, gehen Sie so vor:
Console
-
Rufen Sie in der Google Cloud Console die Seite
Berechtigungen auf:Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Auf der Seite Berechtigungen werden nicht alle Hauptkonten angezeigt. Es werden nur die Hauptkonten, die eine Rolle auf Projektebene haben, oder eine Rolle, für Monitoring, Logging oder Nachverfolgen.
Mit den Optionen auf dieser Seite können Sie alle Hauptkonten aufrufen, deren Rollen Monitoring-Berechtigung.
Klicken Sie auf
Zugriff erlauben.Klicken Sie auf Neue Hauptkonten und geben Sie den Nutzernamen für das Hauptkonto ein. Sie können mehrere Hauptkonten hinzufügen.
Maximieren arrow_drop_down Rolle auswählen und wählen Sie einen Wert aus der Im Menü Nach Produkt oder Dienst und wählen Sie dann aus dem Menü Rollen eine Rolle aus. Menü:
Auswahl für Produkt oder Dienstleistung Rollenauswahl Beschreibung Monitoring Monitoring-Betrachter Monitoring-Daten und Konfigurationsinformationen ansehen. Hauptkonten mit dieser Rolle können z. B. Folgendes ansehen: benutzerdefinierten Dashboards und Benachrichtigungsrichtlinien. Monitoring Monitoring-Editor Monitoring-Daten ansehen und Konfigurationen erstellen und bearbeiten. Beispiel: Hauptkonten mit dieser Rolle können benutzerdefinierten Dashboards und Benachrichtigungsrichtlinien. Monitoring Monitoring-Administrator Monitoring-Daten ansehen, Konfigurationen erstellen und bearbeiten Messwertbereich. Cloud Trace Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen Cloud Trace Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole, Lese-/Schreibzugriff auf Traces, und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen Logging Loganzeige Lesezugriff auf Logs. Weitere Informationen finden Sie unter Logging-Rollen: Logging Logging-Administrator Vollständiger Zugriff auf alle Features von Cloud Logging. Für finden Sie unter Logging-Rollen: Projekt Betrachter Lesezugriff auf die meisten Google Cloud-Ressourcen. Projekt Bearbeiter Kann die meisten Google Cloud-Ressourcen ansehen, erstellen, aktualisieren und löschen. Projekt Inhaber Vollständiger Zugriff auf die meisten Google Cloud-Ressourcen. Optional: Wenn Sie denselben Hauptkonten eine weitere Rolle zuweisen möchten, klicken Sie auf Fügen Sie eine weitere Rolle hinzu und wiederholen Sie den vorherigen Schritt.
Klicken Sie auf Speichern.
In den vorherigen Schritten wurde beschrieben, wie einem Hauptkonto bestimmte Rollen mithilfe von Monitoringseiten in der Google Cloud Console Für diese Rollen können Sie auf dieser Seite auch Bearbeitungs- und Löschoptionen nutzen:
So entfernen Sie Rollen für ein Hauptkonto: klicken Sie auf das Kästchen neben dem Hauptkonto und dann auf
Zugriffsrechte entfernenSo bearbeiten Sie die Rollen für ein Hauptkonto: Klicken Sie auf edit Bearbeiten. Nachdem Sie die Einstellungen aktualisiert haben, Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl gcloud projects add-iam-policy-binding
, um die Rolle monitoring.viewer
oder monitoring.editor
zu erteilen.
Beispiel:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Mit dem Befehl gcloud projects get-iam-policy
werden die zugewiesenen Rollen bestätigt:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Vordefinierte Rollen
In diesem Abschnitt wird eine Teilmenge von IAM-Rollen aufgeführt, die durch Cloud Monitoring
Monitoring-Rollen
Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.viewer Monitoring-Betrachter |
Gewährt Lesezugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API. |
roles/monitoring.editor Monitoring-Bearbeiter |
Gewährt Lese-/Schreibzugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API. |
roles/monitoring.admin Monitoring-Administrator |
Gewährt vollständigen Zugriff auf Monitoring in der Google Cloud Console und Lese-/Schreibzugriff auf die Cloud Monitoring API. |
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.metricWriter Monitoring-Messwert-Autor |
Diese Rolle ist für Dienstkonten und Agents vorgesehen. |
Rollen für Benachrichtigungsrichtlinien
Durch die folgenden Rollen werden Berechtigungen für Benachrichtigungsrichtlinien gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.alertPolicyViewer Betrachter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lesezugriff auf Benachrichtigungsrichtlinien. |
roles/monitoring.alertPolicyEditor Bearbeiter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lese-/Schreibzugriff auf Benachrichtigungsrichtlinien. |
Dashboardrollen
Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.dashboardViewer Betrachter von Monitoring-Dashboard-Konfigurationen |
Gewährt Lesezugriff auf Dashboardkonfigurationen. |
roles/monitoring.dashboardEditor Bearbeiter der Monitoring-Dashboard-Konfiguration |
Gewährt Lese-/Schreibzugriff auf Dashboardkonfigurationen. |
Vorfallrollen
Durch die folgenden Rollen werden Berechtigungen nur für Vorfälle gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.cloudConsoleIncidentViewer Betrachter von Monitoring Cloud Console-Vorfällen |
Gewährt Zugriff zum Ansehen von Vorfällen über die Google Cloud Console. |
roles/monitoring.cloudConsoleIncidentEditor Bearbeiter von Monitoring Cloud Console-Vorfällen |
Gewährt Zugriff zum Ansehen, Bestätigen und Schließen von Vorfällen über die Google Cloud Console. |
Informationen zum Beheben von IAM-Berechtigungsfehlern beim Vorfälle ansehen, siehe Vorfalldetails können aufgrund eines Berechtigungsfehlers nicht aufgerufen werden.
Rollen für Benachrichtigungskanäle
Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.notificationChannelViewer Betrachter von Monitoring-Benachrichtigungskanälen |
Gewährt Lesezugriff auf Benachrichtigungskanäle. |
roles/monitoring.notificationChannelEditor Bearbeiter von Monitoring-Benachrichtigungskanälen |
Gewährt Lese-/Schreibzugriff auf Benachrichtigungskanäle. |
Benachrichtigungsrollen deaktivieren
Die folgenden Rollen gewähren Berechtigungen zum Zurückstellen von Benachrichtigungen:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.snoozeViewer Überwachung der Schlummerfunktion |
Gewährt Lesezugriff auf Schlummerfunktionen. |
roles/monitoring.snoozeEditor Bearbeiter der Schlummerfunktion überwachen |
Gewährt Lese- und Schreibzugriff auf Schlummerfunktionen. |
Dienst-Monitoring-Rollen
Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.servicesViewer Betrachter von Monitoring-Diensten |
Gewährt Lesezugriff auf Dienste. |
roles/monitoring.servicesEditor Bearbeiter von Monitoring-Diensten |
Gewährt Lese- und Schreibzugriff auf Dienste. |
Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.
Verfügbarkeitsdiagnose-Konfigurationsrollen
Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.uptimeCheckConfigViewer Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lesezugriff auf Verfügbarkeitsdiagnosen-Konfigurationen. |
roles/monitoring.uptimeCheckConfigEditor Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosen-Konfigurationen. |
Konfigurationsrollen für Messwertbereiche
Durch die folgenden Rollen werden allgemeine Berechtigungen für Messwertbereiche:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.metricsScopesViewer Betrachter von Monitoring-Messwertbereichen |
Gewährt Lesezugriff auf Messwertbereiche. |
roles/monitoring.metricsScopesAdmin Administrator von Monitoring-Messwertbereichen |
Gewährt Lese-/Schreibzugriff auf Messwertbereiche. |
Berechtigungen für vordefinierte Rollen
In diesem Abschnitt werden die Berechtigungen aufgelistet, die vordefinierten Rollen mit Monitoring.
Weitere Informationen zu vordefinierten Rollen finden Sie unter IAM: Rollen und Berechtigungen Hilfe bei der Auswahl der am besten geeigneten vordefinierten Rollen Weitere Informationen finden Sie unter Vordefinierte Rollen auswählen.
Berechtigungen für Monitoring-Rollen
Role | Permissions |
---|---|
Monitoring Admin(
Provides the same access as the Monitoring Editor role ( Lowest-level resources where you can grant this role:
|
|
Monitoring AlertPolicy Editor( Read/write access to alerting policies. |
|
Monitoring AlertPolicy Viewer( Read-only access to alerting policies. |
|
Monitoring Cloud Console Incident Editor Beta( Read/write access to incidents from Cloud Console. |
|
Monitoring Cloud Console Incident Viewer Beta( Read access to incidents from Cloud Console. |
|
Monitoring Dashboard Configuration Editor( Read/write access to dashboard configurations. |
|
Monitoring Dashboard Configuration Viewer( Read-only access to dashboard configurations. |
|
Monitoring Editor( Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Monitoring Metric Writer( Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role:
|
|
Monitoring Metrics Scopes Admin Beta( Access to add and remove monitored projects from metrics scopes. |
|
Monitoring Metrics Scopes Viewer Beta( Read-only access to metrics scopes and their monitored projects. |
|
Monitoring NotificationChannel Editor Beta( Read/write access to notification channels. |
|
Monitoring NotificationChannel Viewer Beta( Read-only access to notification channels. |
|
Monitoring Services Editor( Read/write access to services. |
|
Monitoring Services Viewer( Read-only access to services. |
|
Monitoring Snooze Editor(
|
|
Monitoring Snooze Viewer(
|
|
Monitoring Uptime Check Configuration Editor Beta( Read/write access to uptime check configurations. |
|
Monitoring Uptime Check Configuration Viewer Beta( Read-only access to uptime check configurations. |
|
Monitoring Viewer( Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Berechtigungen für Ops Config Monitoring-Rollen
Role | Permissions |
---|---|
Ops Config Monitoring Resource Metadata Viewer Beta( Read-only access to resource metadata. |
|
Ops Config Monitoring Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata. |
|
Berechtigungen für Stackdriver-Rollen
Role | Permissions |
---|---|
Stackdriver Accounts Editor( Read/write access to manage Stackdriver account structure. |
|
Stackdriver Accounts Viewer( Read-only access to get and list information about Stackdriver account structure. |
|
Stackdriver Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata. |
|
Monitoringberechtigungen in Google Cloud-Rollen
Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/viewer Betrachter |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer . |
roles/editor Bearbeiter |
Die Monitoring-Berechtigungen sind dieselben wie in
Diese Rolle gewährt keine Berechtigung zum Ändern eines Messwertbereichs.
Wenn Sie bei Verwendung der API einen Messwertbereich ändern möchten, muss Ihre Rolle die folgenden Elemente enthalten:
Berechtigung „ |
roles/owner Inhaber |
Die Monitoring-Berechtigungen sind dieselben wie in
roles/monitoring.admin
|
Benutzerdefinierte Rollen
Sie können eine benutzerdefinierte Rolle erstellen, wenn Sie einem Hauptkonto ein
weniger Berechtigungen als mit vordefinierten Rollen.
Beispiel: Sie richten Assured Workloads ein.
weil Sie einen Datenstandort haben,
Anforderungen an Impact Level 4 (IL4)
sollten Sie nicht
Verfügbarkeitsdiagnosen, da es
keine Garantie dafür, dass die Verfügbarkeitsdiagnosen-Daten an einem bestimmten geografischen Standort gespeichert werden.
Um die Verwendung von Verfügbarkeitsdiagnosen zu verhindern, erstellen Sie eine Rolle, die keine
Berechtigungen mit dem Präfix monitoring.uptimeCheckConfigs
.
So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:
Für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, wählen Sie eine der Berechtigungen im Bereich Berechtigungen und vordefinierte Rollen.
Für eine Rolle, die Berechtigungen für Monitoring in der Google Cloud Console, wählen Sie in der Monitoring-Rollen.
Um die Erlaubnis zum Schreiben von Monitoringdaten zu gewähren, die Berechtigungen der Rolle
roles/monitoring.metricWriter
in der Berechtigungen und vordefinierte Rollen.
Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.
Zugriffsbereiche für Compute Engine
Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:
Zugriffsbereich | Gewährte Berechtigungen |
---|---|
https://www.googleapis.com/auth/monitoring.read | Die gleichen Berechtigungen wie in roles/monitoring.viewer . |
https://www.googleapis.com/auth/monitoring.write | Die gleichen Berechtigungen wie in roles/monitoring.metricWriter . |
https://www.googleapis.com/auth/monitoring | Vollzugriff auf Monitoring |
https://www.googleapis.com/auth/cloud-platform | Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs |
Weitere Informationen finden Sie unter Zugriffsbereiche.
Best Practice: Es empfiehlt sich, Ihren VM-Instanzen
mächtigsten Zugriffsbereich (cloud-platform
) und verwenden Sie dann IAM
können Sie den Zugriff auf bestimmte APIs und Vorgänge einschränken. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.