Controle o acesso com a IAM

Para usar o Monitoring, tem de ter as autorizações de gestão de identidade e de acesso (IAM) adequadas. Em geral, cada método REST numa API tem uma autorização associada. Para usar o método ou uma funcionalidade da consola que dependa do método, tem de ter autorização para usar o método correspondente. As autorizações não são concedidas diretamente aos utilizadores. Em vez disso, são concedidas indiretamente através de funções, que agrupam várias autorizações para facilitar a respetiva gestão:

As funções para combinações comuns de autorizações estão predefinidas para si. No entanto, também pode criar as suas próprias combinações de autorizações através da criação de funções personalizadas do IAM.

Prática recomendada

Recomendamos que crie grupos Google para gerir o acesso a Google Cloud projetos:

VPC Service Controls

Para controlar ainda mais o acesso aos dados de monitorização, use os VPC Service Controls, além da IAM.

O VPC Service Controls oferece segurança adicional para o Cloud Monitoring para ajudar a mitigar o risco de exfiltração de dados. Com os VPC Service Controls, pode adicionar um âmbito de métricas a um perímetro de serviço que protege os recursos e os serviços do Cloud Monitoring de pedidos originados fora do perímetro.

Para saber mais acerca dos perímetros de serviço, consulte a documentação de configuração do perímetro de serviço do VPC Service Controls.

Para informações sobre o suporte do Monitoring para VPC Service Controls, incluindo limitações conhecidas, consulte a documentação do VPC Service Controls do Monitoring.

Conceda acesso ao Cloud Monitoring

Para gerir as funções da IAM para os responsáveis, pode usar a página Gestão de identidade e acesso na Google Cloud consola ou na CLI do Google Cloud. No entanto, o Cloud Monitoring oferece uma interface simplificada que lhe permite gerir as suas funções específicas do Monitoring, as funções ao nível do projeto e as funções comuns do Cloud Logging e Cloud Trace.

Para conceder aos principais acesso ao Monitoring, ao Cloud Logging ou ao Cloud Trace, ou para conceder uma função ao nível do projeto, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página  Autorizações:

    Aceda a Autorizações

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.

    A página Autorizações não apresenta todos os responsáveis. Apenas lista os responsáveis que têm uma função ao nível do projeto ou uma função específica do Monitoring, Logging ou Trace.

    As opções nesta página permitem-lhe ver todos os responsáveis cujas funções incluem qualquer autorização de monitorização.

  2. Clique em Conceder acesso.

  3. Clique em Novos responsáveis e introduza o nome de utilizador do responsável. Pode adicionar vários responsáveis.

  4. Expanda Selecionar uma função, selecione um valor no menu Por produto ou serviço e, de seguida, selecione uma função no menu Funções:

    Seleção por produto ou serviço Seleção de funções Descrição
    Monitorização Visualizador de monitorização Ver dados de monitorização e informações de configuração. Por exemplo, os responsáveis com esta função podem ver painéis de controlo personalizados e políticas de alerta.
    Monitorização Editor de monitorização Ver dados de monitorização e criar e editar configurações. Por exemplo, os principais com esta função podem criar painéis de controlo personalizados e políticas de alerta.
    Monitorização Administrador de monitorização Acesso total à monitorização na Google Cloud consola e na API Cloud Monitoring. Pode ver dados de monitorização, criar e editar configurações, e modificar o âmbito das métricas.
    Cloud Trace Utilizador do Cloud Trace Acesso total à consola de rastreio, acesso de leitura aos rastreios e acesso de leitura/escrita aos destinos. Para mais informações, consulte o artigo Rastreie funções.
    Cloud Trace Administrador do Cloud Trace Acesso total à consola de rastreio, acesso de leitura/escrita a rastreios e acesso de leitura/escrita a destinos. Para mais informações, consulte o artigo Rastreie funções.
    Registo Visualizador de registos Ver acesso aos registos. Para mais informações, consulte o artigo Funções de registo.
    Registo Administrador de registo Acesso total a todas as funcionalidades do Cloud Logging. Para mais informações, consulte Funções de registo.
    Projeto Leitor Acesso para visualização à maioria dos Google Cloud recursos.
    Projeto Editor Ver, criar, atualizar e eliminar a maioria dos Google Cloud recursos.
    Projeto Proprietário Acesso total à maioria dos Google Cloud recursos.

  5. Opcional: para conceder a outros responsáveis outra função, clique em Adicionar outra função e repita o passo anterior.

  6. Clique em Guardar.

Os passos anteriores descrevem como conceder determinadas funções a um principal através das páginas de monitorização na Google Cloud consola. Para estas funções, esta página também suporta opções de edição e eliminação:

  • Para remover funções de um principal, selecione a caixa junto ao principal e, de seguida, clique em Remover acesso.

  • Para editar as funções de um principal, clique em Editar. Depois de atualizar as definições, clique em Guardar.

gcloud

Use o comando gcloud projects add-iam-policy-binding para conceder a função monitoring.viewer ou monitoring.editor.

Por exemplo:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Pode confirmar as funções concedidas através do comando gcloud projects get-iam-policy:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Funções predefinidas

Esta secção apresenta um subconjunto de funções do IAM predefinidas pelo Cloud Monitoring.

Funções de monitorização

As seguintes funções concedem autorizações gerais para a monitorização:

Nome
Título		 Inclui autorizações
roles/monitoring.viewer
Visitante de monitorização 		Concede acesso só de leitura à monitorização na Google Cloud consola e na API Cloud Monitoring.
roles/monitoring.editor
Editor de monitorização 		Concede acesso de leitura/escrita à monitorização na Google Cloud consola e na API Cloud Monitoring.
roles/monitoring.admin
Administrador de monitorização 		Concede acesso total à monitorização na Google Cloud consola e à Cloud Monitoring API.

A seguinte função é usada pelas contas de serviço para acesso só de escrita:

Nome
Título		 Descrição
roles/monitoring.metricWriter
Escritor de métricas de monitorização

Esta função destina-se a contas de serviço e agentes.
Não permite o acesso à monitorização na consola Google Cloud .
Permite a escrita de dados de monitorização num âmbito de métricas.

Funções da política de alerta

As seguintes funções concedem autorizações para políticas de alerta:

Nome
Título		 Descrição
roles/monitoring.alertPolicyViewer
Visualizador da política de alertas de monitorização		 Concede acesso só de leitura às políticas de alerta.
roles/monitoring.alertPolicyEditor
Monitorizar o editor de políticas de alerta		 Concede acesso de leitura/escrita às políticas de alerta.

Funções do painel de controlo

As seguintes funções concedem autorizações apenas para painéis de controlo:

Nome
Título		 Descrição
roles/monitoring.dashboardViewer
Visualizador de configuração do painel de controlo de monitorização		 Concede acesso só de leitura às configurações do painel de controlo.
roles/monitoring.dashboardEditor
Editor de configuração do painel de controlo de monitorização		 Concede acesso de leitura/escrita às configurações do painel de controlo.

Funções de incidentes

As seguintes funções concedem autorizações apenas para incidentes:

Nome
Título		 Descrição
roles/monitoring.cloudConsoleIncidentViewer
Monitorização do visualizador de incidentes da Cloud Console		 Concede acesso à visualização de incidentes através da Google Cloud consola.
roles/monitoring.cloudConsoleIncidentEditor
Editor de incidentes da Cloud Console de monitorização		 Concede acesso para ver, confirmar e fechar incidentes através da consola Google Cloud .

Para obter informações sobre como resolver erros de autorização do IAM ao ver incidentes, consulte o artigo Não é possível ver os detalhes do incidente devido a um erro de autorização.

Funções do canal de notificações

As seguintes funções concedem autorizações apenas para canais de notificação:

Nome
Título		 Descrição
roles/monitoring.notificationChannelViewer
Monitoring NotificationChannel Viewer		 Concede acesso só de leitura aos canais de notificação.
roles/monitoring.notificationChannelEditor
Monitorização do editor NotificationChannel		 Concede acesso de leitura/escrita aos canais de notificação.

Suspenda funções de notificação

As seguintes funções concedem autorizações para adiar notificações:

Nome
Título		 Descrição
roles/monitoring.snoozeViewer
Leitor de adiamento da monitorização		 Concede acesso só de leitura a adiamentos.
roles/monitoring.snoozeEditor
Editor de adiamento da monitorização		 Concede acesso de leitura/escrita a adiamentos.

Funções de monitorização de serviços

As seguintes funções concedem autorizações para gerir serviços:

Nome
Título		 Descrição
roles/monitoring.servicesViewer
Visualizador de serviços de monitorização		 Concede acesso só de leitura aos serviços.
roles/monitoring.servicesEditor
Editor de serviços de monitorização		 Concede acesso de leitura/escrita aos serviços.

Para mais informações sobre a monitorização de serviços, consulte o artigo Monitorização de SLOs.

Funções de configuração de verificações de tempo de atividade

As seguintes funções concedem autorizações apenas para configurações de verificações de tempo de atividade:

Nome
Título		 Descrição
roles/monitoring.uptimeCheckConfigViewer
Visualizador de configurações da verificação do tempo de atividade da monitorização		 Concede acesso só de leitura às configurações de verificação do tempo de atividade.
roles/monitoring.uptimeCheckConfigEditor
Editor de configurações da verificação do tempo de atividade de monitorização		 Concede acesso de leitura/escrita às configurações de verificação do tempo de atividade.

Funções de configuração do âmbito das métricas

As seguintes funções concedem autorizações gerais para os âmbitos das métricas:

Nome
Título		 Descrição
roles/monitoring.metricsScopesViewer
Os âmbitos das métricas de monitorização são os visitantes		 Concede acesso só de leitura aos âmbitos das métricas.
roles/monitoring.metricsScopesAdmin
Âmbitos das métricas de monitorização do administrador		 Concede acesso de leitura/escrita aos âmbitos das métricas.

Autorizações para funções predefinidas

Esta secção lista as autorizações atribuídas a funções predefinidas associadas à monitorização.

Para mais informações sobre as funções predefinidas, consulte o artigo IAM: funções e autorizações. Para obter ajuda na escolha das funções predefinidas mais adequadas, consulte o artigo Escolha funções predefinidas.

Autorizações para funções de monitorização

Role Permissions

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update
  • monitoring.alerts.get
  • monitoring.alerts.list
  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

(roles/monitoring.alertViewer)

Read access to alerts.

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.notificationServiceAgent)

Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project.

bigquery.jobs.create

cloudfunctions.functions.get

cloudtrace.traces.patch

logging.links.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.list

run.routes.invoke

servicedirectory.networks.access

servicedirectory.services.resolve

serviceusage.services.use

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Autorizações de monitorização incluídas nas Google Cloud funções básicas

As Google Cloud funções básicas incluem as seguintes autorizações:

Nome
Título		 Inclui autorizações
roles/viewer
Visitante 		As autorizações de monitorização são as mesmas que as em roles/monitoring.viewer.
roles/editor
Editor

As autorizações de monitorização são as mesmas que as da roles/monitoring.editor, com a exceção da autorização stackdriver.projects.edit. A função roles/editor não inclui a autorização stackdriver.projects.edit.

Esta função não concede autorização para modificar um âmbito de métricas. Para modificar um âmbito de métricas quando usa a API, a sua função tem de incluir a autorização monitoring.metricsScopes.link. Para modificar um âmbito de métricas quando usa a Google Cloud consola, a sua função tem de incluir a autorização monitoring.metricsScopes.link ou tem de ter a função roles/monitoring.editor.
roles/owner
Proprietário 		As autorizações de monitorização são as mesmas que as de roles/monitoring.admin.

Funções personalizadas

Pode querer criar uma função personalizada quando quiser conceder a um principal um conjunto de autorizações mais limitado do que o concedido com funções predefinidas. Por exemplo, se configurar o Assured Workloads porque tem requisitos de residência dos dados ou Nível de impacto 4 (IL4), não deve usar verificações de tempo de atividade, uma vez que não existe garantia de que os dados de verificação de tempo de atividade sejam mantidos numa localização geográfica específica. Para impedir a utilização de verificações de tempo de atividade, crie uma função que não inclua autorizações com o prefixo monitoring.uptimeCheckConfigs.

Para criar uma função personalizada com autorizações de monitorização, faça o seguinte:

Para mais informações sobre funções personalizadas, aceda a Compreender as funções personalizadas do IAM.

Âmbitos de acesso do Compute Engine

Os âmbitos de acesso são o método antigo de especificar autorizações para as suas instâncias de VM do Compute Engine. Os seguintes âmbitos de acesso aplicam-se à Monitorização:

Âmbito de acesso Autorizações concedidas
https://www.googleapis.com/auth/monitoring.read As mesmas autorizações que em roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write As mesmas autorizações que em roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Acesso total à monitorização.
https://www.googleapis.com/auth/cloud-platform Acesso total a todas as APIs Cloud ativadas.

Para mais detalhes, aceda a Âmbitos de acesso.

Prática recomendada. É uma boa prática conceder às suas instâncias de VM o âmbito de acesso mais poderoso (cloud-platform) e, em seguida, usar funções do IAM para restringir o acesso a APIs e operações específicas. Para ver detalhes, aceda a Autorizações da conta de serviço.