Esta página se ha traducido con Cloud Translation API.

Controlar el acceso con la gestión de identidades y accesos

Para usar Monitoring, debes tener los permisos de Gestión de Identidades y Accesos (IAM) adecuados. Por lo general, cada método REST de una API tiene un permiso asociado. Para usar el método o una función de la consola que dependa de él, debes tener permiso para usar el método correspondiente. Los permisos no se conceden directamente a los usuarios, sino indirectamente a través de roles, que agrupan varios permisos para facilitar su gestión:

Para obtener información sobre el control de acceso, consulta Conceptos relacionados con la gestión de accesos.

Para obtener información sobre cómo conceder roles a principales, consulta el artículo Conceder acceso a Cloud Monitoring.

Los roles de las combinaciones de permisos habituales ya están predefinidos. Sin embargo, también puedes crear tus propias combinaciones de permisos creando roles personalizados de gestión de identidades y accesos.

Práctica recomendada

Te recomendamos que crees grupos de Google para gestionar el acceso a los proyectos deGoogle Cloud :

Para obtener más información, consulta el artículo sobre gestionar grupos en la consola de Google Cloud .
Para obtener información sobre cómo definir límites en los roles, consulta el artículo Configurar límites para conceder roles.
Para ver una lista completa de roles y permisos de gestión de identidades y accesos, consulta la referencia de roles básicos y predefinidos de gestión de identidades y accesos.

Controles de Servicio de VPC

Para controlar aún más el acceso a los datos de monitorización, usa Controles de Servicio de VPC además de IAM.

Controles de Servicio de VPC proporciona medidas de seguridad adicionales a Cloud Monitoring para ayudar a mitigar el riesgo de filtración externa de datos. Con Controles de Servicio de VPC, puedes añadir un ámbito de métricas a un perímetro de servicio que proteja los recursos y servicios de Cloud Monitoring de las solicitudes que se originen fuera del perímetro.

Para obtener más información sobre los perímetros de servicio, consulta la documentación de configuración de perímetros de servicio de Controles de Servicio de VPC.

Para obtener información sobre la compatibilidad de Monitoring con Controles de Servicio de VPC, incluidas las limitaciones conocidas, consulta la documentación de Controles de Servicio de VPC de Monitoring.

Conceder acceso a Cloud Monitoring

Para gestionar los roles de IAM de las entidades, puedes usar la página Gestión de Identidades y Accesos de la Google Cloud consola o la CLI de Google Cloud. Sin embargo, Cloud Monitoring proporciona una interfaz simplificada que te permite gestionar tus roles específicos de Monitoring, los roles a nivel de proyecto y los roles comunes de Cloud Logging y Cloud Trace.

Para conceder acceso a principales a Monitoring, Cloud Logging o Cloud Trace, o para asignar un rol a nivel de proyecto, haz lo siguiente:

Consola

En la Google Cloud consola, ve a la página Permisos:
Ve a Permisos.

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Monitorización.

En la página Permisos no se muestran todas las entidades principales. Solo se muestran las entidades que tienen un rol a nivel de proyecto o un rol específico de Monitoring, Logging o Trace.

Las opciones de esta página le permiten ver todas las entidades cuyos roles incluyen algún permiso de Monitoring.
Haz clic en Conceder acceso.
Haz clic en Nuevos principales e introduce el nombre de usuario del principal. Puedes añadir varios principales.

Despliega Selecciona un rol, elige un valor del menú Por producto o servicio y, a continuación, selecciona un rol del menú Roles:

Selección por producto o servicio	Selección de roles	Descripción
Supervisión	Lector de Monitoring	Ver datos de Monitoring e información de configuración. Por ejemplo, las entidades de seguridad con este rol pueden ver paneles de control personalizados y políticas de alertas.
Supervisión	Editor de monitorización	Ver datos de Monitoring, así como crear y editar configuraciones. Por ejemplo, las entidades de seguridad con este rol pueden crear paneles de control personalizados y políticas de alertas.
Supervisión	Administrador de Monitoring	Acceso completo a Monitoring en la Google Cloud consola y en la API de Cloud Monitoring. Puede ver los datos de monitorización, crear y editar configuraciones, y modificar el ámbito de las métricas.
Cloud Trace	Usuario de Cloud Trace	Acceso completo a la consola de Trace, acceso de lectura a las trazas y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Roles de seguimiento.
Cloud Trace	Administrador de Cloud Trace	Acceso completo a la consola de Trace, acceso de lectura y escritura a las trazas y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Roles de seguimiento.
Almacenamiento de registros	Visualizador de registros	Ver el acceso a los registros. Para obtener más información, consulta Roles de registro.
Almacenamiento de registros	Administrador de Logging	Acceso completo a todas las funciones de Cloud Logging. Para obtener más información, consulta Roles de registro.
Proyecto	Lector	Acceso de lectura a la mayoría de los Google Cloud recursos.
Proyecto	Editor	Ver, crear, actualizar y eliminar la mayoría de los recursos. Google Cloud
Proyecto	Propietario	Acceso completo a la mayoría de los Google Cloud recursos.

Opcional: Para asignar otro rol a los mismos principales, haz clic en Añadir otro rol y repite el paso anterior.
Haz clic en Guardar.

En los pasos anteriores se describe cómo conceder determinados roles a una entidad de seguridad mediante las páginas de monitorización de la consola de Google Cloud . En el caso de estos roles, esta página también admite las opciones de editar y eliminar:

Para quitar roles de un principal, selecciona la casilla situada junto al principal y, a continuación, haz clic en Quitar acceso.
Para editar los roles de un principal, haz clic en Editar. Después de actualizar los ajustes, haz clic en Guardar.

gcloud

Usa el comando gcloud projects add-iam-policy-binding para asignar el rol monitoring.viewer o monitoring.editor.

Por ejemplo:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Puedes confirmar los roles concedidos con el comando gcloud projects get-iam-policy:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Funciones predefinidas

En esta sección se muestra un subconjunto de los roles de gestión de identidades y accesos predefinidos por Cloud Monitoring.

Roles de monitorización

Los siguientes roles conceden permisos generales para Monitoring:

Nombre Título	Incluye permisos
`roles/monitoring.viewer` Lector de Monitoring	Concede acceso de solo lectura a Monitoring en la Google Cloud consola y en la API de Cloud Monitoring.
`roles/monitoring.editor` Editor de Monitoring	Concede acceso de lectura y escritura a Monitoring en la Google Cloud consola y en la API de Cloud Monitoring.
`roles/monitoring.admin` Administrador de Monitoring	Concede acceso completo a Monitoring en la Google Cloud consola y a la API de Cloud Monitoring.

Las cuentas de servicio usan el siguiente rol para tener acceso de solo escritura:

Nombre Título	Descripción
`roles/monitoring.metricWriter` Editor de las métricas de monitorización	Este rol es para cuentas de servicio y agentes. No permite acceder a Monitoring en la Google Cloud consola. Permite escribir datos de monitorización en un ámbito de métricas.

Roles de políticas de alertas

Los siguientes roles conceden permisos para las políticas de alertas:

Nombre Título	Descripción
`roles/monitoring.alertPolicyViewer` Lector de políticas de alertas de Monitoring	Concede acceso de solo lectura a las políticas de alertas.
`roles/monitoring.alertPolicyEditor` Editor de Monitoring AlertPolicy	Concede acceso de lectura y escritura a las políticas de alertas.

Roles del panel de control

Los siguientes roles solo conceden permisos para los paneles de control:

Nombre Título	Descripción
`roles/monitoring.dashboardViewer` Lector de configuración del panel de control de Monitoring	Concede acceso de solo lectura a las configuraciones de panel de control.
`roles/monitoring.dashboardEditor` Editor de configuración del panel de control de Monitoring	Concede acceso de lectura y escritura a las configuraciones de panel de control.

Roles de incidentes

Los siguientes roles solo conceden permisos para incidencias:

Nombre Título	Descripción
`roles/monitoring.cloudConsoleIncidentViewer` Lector de incidentes de Monitoring de la consola de Cloud	Concede acceso para ver los incidentes mediante la Google Cloud consola.
`roles/monitoring.cloudConsoleIncidentEditor` Monitorizar el editor de incidentes de la consola de Cloud	Permite ver, confirmar y cerrar incidentes mediante la consola de Google Cloud .

Para obtener información sobre cómo resolver errores de permisos de IAM al ver incidencias, consulta No puedo ver los detalles de una incidencia debido a un error de permisos.

Roles de canal de notificaciones

Los siguientes roles solo conceden permisos para canales de notificación:

Nombre Título	Descripción
`roles/monitoring.notificationChannelViewer` Lector de NotificationChannel de Monitoring	Concede acceso de solo lectura a los canales de notificación.
`roles/monitoring.notificationChannelEditor` Editor de NotificationChannel de Monitoring	Concede acceso de lectura y escritura a los canales de notificación.

Posponer roles de notificación

Los siguientes roles conceden permisos para posponer notificaciones:

Nombre Título	Descripción
`roles/monitoring.snoozeViewer` Lector de posposiciones de Monitoring	Concede acceso de solo lectura a las posposiciones.
`roles/monitoring.snoozeEditor` Editor de posposición de Monitoring	Concede acceso de lectura y escritura a las posposiciones.

Roles de monitorización de servicios

Los siguientes roles conceden permisos para gestionar servicios:

Nombre Título	Descripción
`roles/monitoring.servicesViewer` Lector de servicios de Monitoring	Concede acceso de solo lectura a los servicios.
`roles/monitoring.servicesEditor` Editor de servicios de Monitoring	Concede acceso de lectura y escritura a los servicios.

Para obtener más información sobre la monitorización de servicios, consulta Monitorización de SLOs.

Roles de configuración de comprobación de disponibilidad

Los siguientes roles solo conceden permisos para las configuraciones de comprobación de disponibilidad:

Nombre Título	Descripción
`roles/monitoring.uptimeCheckConfigViewer` Lector de configuraciones de comprobación de disponibilidad del servicio de Monitoring	Concede acceso de solo lectura a las configuraciones de comprobación de disponibilidad del servicio.
`roles/monitoring.uptimeCheckConfigEditor` Editor de configuraciones de comprobación de disponibilidad del servicio de Monitoring	Concede acceso de lectura y escritura a las configuraciones de comprobación de disponibilidad.

Roles de configuración del ámbito de las métricas

Los siguientes roles conceden permisos generales para los ámbitos de métricas:

Nombre Título	Descripción
`roles/monitoring.metricsScopesViewer` Visor de ámbitos de métricas de Monitoring	Concede acceso de solo lectura a los ámbitos de métricas.
`roles/monitoring.metricsScopesAdmin` Administrador de permisos de métricas de Monitoring	Concede acceso de lectura y escritura a los ámbitos de las métricas.

Permisos de los roles predefinidos

En esta sección se enumeran los permisos asignados a los roles predefinidos asociados a Monitoring.

Para obtener más información sobre los roles predefinidos, consulta Gestión de identidades y accesos: roles y permisos. Para obtener ayuda a la hora de elegir los roles predefinidos más adecuados, consulta el artículo Elegir roles predefinidos.

Permisos de los roles de Monitoring

Role Permissions

Role	Permissions
Monitoring Admin (`roles/monitoring.admin`) Provides full access to Cloud Monitoring. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.createTagBinding` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.deleteTagBinding` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alertPolicies.update` `monitoring.alerts.get` `monitoring.alerts.list` `monitoring.dashboards.create` `monitoring.dashboards.createTagBinding` `monitoring.dashboards.delete` `monitoring.dashboards.deleteTagBinding` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.dashboards.update` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.metricsScopes.link` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.getVerificationCode` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.*` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring AlertPolicy Editor (`roles/monitoring.alertPolicyEditor`) Read/write access to alerting policies.	`monitoring.alertPolicies.*` `monitoring.alertPolicies.create` `monitoring.alertPolicies.createTagBinding` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.deleteTagBinding` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alertPolicies.update`
Monitoring AlertPolicy Viewer (`roles/monitoring.alertPolicyViewer`) Read-only access to alerting policies.	`monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings`
Monitoring Alert Viewer ^Beta (`roles/monitoring.alertViewer`) Read access to alerts.	`monitoring.alerts.*` `monitoring.alerts.get` `monitoring.alerts.list`
Monitoring Cloud Console Incident Editor ^Beta (`roles/monitoring.cloudConsoleIncidentEditor`) Read/write access to incidents from Cloud Console.	`monitoring.alerts.*` `monitoring.alerts.get` `monitoring.alerts.list`
Monitoring Cloud Console Incident Viewer ^Beta (`roles/monitoring.cloudConsoleIncidentViewer`) Read access to incidents from Cloud Console.	`monitoring.alerts.*` `monitoring.alerts.get` `monitoring.alerts.list`
Monitoring Dashboard Configuration Editor (`roles/monitoring.dashboardEditor`) Read/write access to dashboard configurations.	`monitoring.dashboards.*` `monitoring.dashboards.create` `monitoring.dashboards.createTagBinding` `monitoring.dashboards.delete` `monitoring.dashboards.deleteTagBinding` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.dashboards.update`
Monitoring Dashboard Configuration Viewer (`roles/monitoring.dashboardViewer`) Read-only access to dashboard configurations.	`monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings`
Monitoring Editor (`roles/monitoring.editor`) Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.createTagBinding` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.deleteTagBinding` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alertPolicies.update` `monitoring.alerts.` `monitoring.alerts.get` `monitoring.alerts.list` `monitoring.dashboards.` `monitoring.dashboards.create` `monitoring.dashboards.createTagBinding` `monitoring.dashboards.delete` `monitoring.dashboards.deleteTagBinding` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.dashboards.update` `monitoring.groups.` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring Metric Writer (`roles/monitoring.metricWriter`) Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role: Project	`monitoring.metricDescriptors.create` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.*` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.timeSeries.create`
Monitoring Metrics Scopes Admin ^Beta (`roles/monitoring.metricsScopesAdmin`) Access to add and remove monitored projects from metrics scopes.	`monitoring.metricsScopes.link` `resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring Metrics Scopes Viewer ^Beta (`roles/monitoring.metricsScopesViewer`) Read-only access to metrics scopes and their monitored projects.	`resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring NotificationChannel Editor ^Beta (`roles/monitoring.notificationChannelEditor`) Read/write access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify`
Monitoring NotificationChannel Viewer ^Beta (`roles/monitoring.notificationChannelViewer`) Read-only access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list`
Monitoring Service Agent (`roles/monitoring.notificationServiceAgent`) Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project. Warning: Do not grant service agent roles to any principals except service agents.	`bigquery.jobs.create` `cloudfunctions.functions.get` `cloudtrace.traces.patch` `logging.links.list` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.*` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.timeSeries.list` `run.routes.invoke` `servicedirectory.networks.access` `servicedirectory.services.resolve` `serviceusage.services.use`
Monitoring Services Editor (`roles/monitoring.servicesEditor`) Read/write access to services.	`monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update`
Monitoring Services Viewer (`roles/monitoring.servicesViewer`) Read-only access to services.	`monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list`
Monitoring Snooze Editor (`roles/monitoring.snoozeEditor`)	`monitoring.snoozes.*` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update`
Monitoring Snooze Viewer (`roles/monitoring.snoozeViewer`)	`monitoring.snoozes.get` `monitoring.snoozes.list`
Monitoring Uptime Check Configuration Editor ^Beta (`roles/monitoring.uptimeCheckConfigEditor`) Read/write access to uptime check configurations.	`monitoring.uptimeCheckConfigs.*` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update`
Monitoring Uptime Check Configuration Viewer ^Beta (`roles/monitoring.uptimeCheckConfigViewer`) Read-only access to uptime check configurations.	`monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list`
Monitoring Viewer (`roles/monitoring.viewer`) Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alerts.` `monitoring.alerts.get` `monitoring.alerts.list` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.groups.get` `monitoring.groups.list` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `opsconfigmonitoring.resourceMetadata.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get` `stackdriver.resourceMetadata.list`
Ops Config Monitoring Resource Metadata Viewer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.viewer`) Read-only access to resource metadata.	`opsconfigmonitoring.resourceMetadata.list`
Ops Config Monitoring Resource Metadata Writer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.	`opsconfigmonitoring.resourceMetadata.write`
Stackdriver Accounts Editor (`roles/stackdriver.accounts.editor`) Read/write access to manage Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.projects.*` `stackdriver.projects.edit` `stackdriver.projects.get`
Stackdriver Accounts Viewer (`roles/stackdriver.accounts.viewer`) Read-only access to get and list information about Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get`
Stackdriver Resource Metadata Writer ^Beta (`roles/stackdriver.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.	`stackdriver.resourceMetadata.write`

Monitoring Admin

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.*

monitoring.alertPolicies.create
monitoring.alertPolicies.createTagBinding
monitoring.alertPolicies.delete
monitoring.alertPolicies.deleteTagBinding
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alertPolicies.update
monitoring.alerts.get
monitoring.alerts.list
monitoring.dashboards.create
monitoring.dashboards.createTagBinding
monitoring.dashboards.delete
monitoring.dashboards.deleteTagBinding
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.dashboards.update
monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update
monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.metricsScopes.link
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.getVerificationCode
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update
monitoring.timeSeries.create
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring AlertPolicy Editor

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.createTagBinding
monitoring.alertPolicies.delete
monitoring.alertPolicies.deleteTagBinding
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alertPolicies.update

Monitoring AlertPolicy Viewer

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

Monitoring Alert Viewer ^Beta

(roles/monitoring.alertViewer)

Read access to alerts.

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

Monitoring Cloud Console Incident Editor ^Beta

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

Monitoring Cloud Console Incident Viewer ^Beta

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

Monitoring Dashboard Configuration Editor

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.createTagBinding
monitoring.dashboards.delete
monitoring.dashboards.deleteTagBinding
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.dashboards.update

Monitoring Dashboard Configuration Viewer

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

Monitoring Editor

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.createTagBinding
monitoring.alertPolicies.delete
monitoring.alertPolicies.deleteTagBinding
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alertPolicies.update

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.createTagBinding
monitoring.dashboards.delete
monitoring.dashboards.deleteTagBinding
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.dashboards.update

monitoring.groups.*

monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update

monitoring.metricDescriptors.*

monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

monitoring.timeSeries.*

monitoring.timeSeries.create
monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring Metric Writer

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

Monitoring Metrics Scopes Admin ^Beta

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring Metrics Scopes Viewer ^Beta

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring NotificationChannel Editor ^Beta

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

Monitoring NotificationChannel Viewer ^Beta

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

Monitoring Service Agent

(roles/monitoring.notificationServiceAgent)

Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project.

bigquery.jobs.create

cloudfunctions.functions.get

cloudtrace.traces.patch

logging.links.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.list

run.routes.invoke

servicedirectory.networks.access

servicedirectory.services.resolve

serviceusage.services.use

Monitoring Services Editor

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

Monitoring Services Viewer

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

Monitoring Snooze Editor

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

Monitoring Snooze Viewer

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

Monitoring Uptime Check Configuration Editor ^Beta

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

Monitoring Uptime Check Configuration Viewer ^Beta

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

Monitoring Viewer

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Ops Config Monitoring Resource Metadata Viewer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

Ops Config Monitoring Resource Metadata Writer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Stackdriver Accounts Editor

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

stackdriver.projects.edit
stackdriver.projects.get

Stackdriver Accounts Viewer

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

Stackdriver Resource Metadata Writer ^Beta

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Permisos de monitorización incluidos en los roles básicos Google Cloud

Los Google Cloud roles básicos incluyen los siguientes permisos:

Nombre
Título Incluye permisos

roles/viewer
Espectador Los permisos de monitorización son los mismos que los de roles/monitoring.viewer.

Nombre Título	Incluye permisos
`roles/viewer` Espectador	Los permisos de monitorización son los mismos que los de `roles/monitoring.viewer`.
`roles/editor` Editor	Los permisos de monitorización son los mismos que los de `roles/monitoring.editor`, con la excepción del permiso `stackdriver.projects.edit`. El rol `roles/editor` no incluye el permiso `stackdriver.projects.edit`. Este rol no concede permiso para modificar un ámbito de métricas. Para modificar un permiso de métricas con la API, tu rol debe incluir el permiso `monitoring.metricsScopes.link`. Para modificar el ámbito de una métrica cuando se usa la consola Google Cloud , su rol debe incluir el permiso `monitoring.metricsScopes.link` o debe tener el rol `roles/monitoring.editor`.
`roles/owner` Propietario	Los permisos de monitorización son los mismos que los de `roles/monitoring.admin`.

roles/editor
Editor

Los permisos de monitorización son los mismos que los de roles/monitoring.editor, con la excepción del permiso stackdriver.projects.edit. El rol roles/editor no incluye el permiso stackdriver.projects.edit.

Este rol no concede permiso para modificar un ámbito de métricas. Para modificar un permiso de métricas con la API, tu rol debe incluir el permiso monitoring.metricsScopes.link. Para modificar el ámbito de una métrica cuando se usa la consola Google Cloud , su rol debe incluir el permiso monitoring.metricsScopes.link o debe tener el rol roles/monitoring.editor.

roles/owner
Propietario Los permisos de monitorización son los mismos que los de roles/monitoring.admin.

Roles personalizados

Puede que quieras crear un rol personalizado cuando quieras conceder a un principal un conjunto de permisos más limitado que los que se conceden con los roles predefinidos. Por ejemplo, si configuras Assured Workloads porque tienes requisitos de residencia de datos o de nivel de impacto 4 (IL4), no deberías usar comprobaciones de tiempo de actividad, ya que no hay ninguna garantía de que los datos de las comprobaciones de tiempo de actividad se conserven en una ubicación geográfica específica. Para evitar que se usen las comprobaciones de disponibilidad, crea un rol que no incluya ningún permiso con el prefijo monitoring.uptimeCheckConfigs.

Para crear un rol personalizado con permisos de monitorización, sigue estos pasos:

Para un rol que solo conceda permisos para la API Monitoring, elige uno de los permisos de la sección Permisos y roles predefinidos.
Para asignar un rol que conceda permisos de Monitoring en la consolaGoogle Cloud , elige entre los grupos de permisos de la sección Roles de Monitoring.
Para conceder la capacidad de escribir datos de monitorización, incluya los permisos del rol roles/monitoring.metricWriter en la sección Permisos y roles predefinidos.

Para obtener más información sobre los roles personalizados, consulta el artículo Conocer los roles personalizados de gestión de identidades y accesos.

Ámbitos de acceso de Compute Engine

Los permisos de acceso son el método antiguo de especificar los permisos de tus instancias de VM de Compute Engine. Los siguientes ámbitos de acceso se aplican a la monitorización:

Permiso de acceso	Permisos concedidos
https://www.googleapis.com/auth/monitoring.read	Los mismos permisos que en `roles/monitoring.viewer`.
https://www.googleapis.com/auth/monitoring.write	Los mismos permisos que en `roles/monitoring.metricWriter`.
https://www.googleapis.com/auth/monitoring	Acceso completo a la monitorización.
https://www.googleapis.com/auth/cloud-platform	Acceso completo a todas las APIs de Cloud habilitadas.

Consulta más información en el artículo Permisos de acceso.

Práctica recomendada: Te recomendamos que asignes a tus instancias de VM el permiso de acceso más potente (cloud-platform) y, a continuación, uses roles de gestión de identidades y accesos para restringir el acceso a APIs y operaciones específicas. Consulta más información en el artículo Permisos de cuentas de servicio.

Controlar el acceso con la gestión de identidades y accesos Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Práctica recomendada

Controles de Servicio de VPC

Conceder acceso a Cloud Monitoring

Consola

gcloud

Funciones predefinidas

Roles de monitorización

Roles de políticas de alertas

Roles del panel de control

Roles de incidentes

Roles de canal de notificaciones

Posponer roles de notificación

Roles de monitorización de servicios

Roles de configuración de comprobación de disponibilidad

Roles de configuración del ámbito de las métricas

Permisos de los roles predefinidos

Permisos de los roles de Monitoring

Monitoring Admin

Monitoring AlertPolicy Editor

Monitoring AlertPolicy Viewer

Monitoring Alert Viewer Beta

Monitoring Cloud Console Incident Editor Beta

Monitoring Cloud Console Incident Viewer Beta

Monitoring Dashboard Configuration Editor

Monitoring Dashboard Configuration Viewer

Monitoring Editor

Monitoring Metric Writer

Monitoring Metrics Scopes Admin Beta

Monitoring Metrics Scopes Viewer Beta

Monitoring NotificationChannel Editor Beta

Monitoring NotificationChannel Viewer Beta

Monitoring Service Agent

Monitoring Services Editor

Monitoring Services Viewer

Monitoring Snooze Editor

Monitoring Snooze Viewer

Monitoring Uptime Check Configuration Editor Beta

Monitoring Uptime Check Configuration Viewer Beta

Monitoring Viewer

Ops Config Monitoring Resource Metadata Viewer Beta

Ops Config Monitoring Resource Metadata Writer Beta

Stackdriver Accounts Editor

Stackdriver Accounts Viewer

Stackdriver Resource Metadata Writer Beta

Permisos de monitorización incluidos en los roles básicos Google Cloud

Roles personalizados

Ámbitos de acceso de Compute Engine

Controlar el acceso con la gestión de identidades y accesos

Monitoring Alert Viewer ^Beta

Monitoring Cloud Console Incident Editor ^Beta

Monitoring Cloud Console Incident Viewer ^Beta

Monitoring Metrics Scopes Admin ^Beta

Monitoring Metrics Scopes Viewer ^Beta

Monitoring NotificationChannel Editor ^Beta

Monitoring NotificationChannel Viewer ^Beta

Monitoring Uptime Check Configuration Editor ^Beta

Monitoring Uptime Check Configuration Viewer ^Beta

Ops Config Monitoring Resource Metadata Viewer ^Beta

Ops Config Monitoring Resource Metadata Writer ^Beta

Stackdriver Resource Metadata Writer ^Beta