Controla el acceso con IAM

Para usar Monitoring, debes tener los permisos de Identity and Access Management (IAM) adecuados. En general, cada método REST en una API tiene un permiso asociado. Si quieres usar el método o usar una función de la consola que se base en el método, debes tener el permiso para usar el método correspondiente. Los permisos no se otorgan directamente a los usuarios, sino que se otorgan indirectamente a través de las funciones, que agrupan varios permisos para facilitar su administración:

Los roles para las combinaciones comunes de permisos están predefinidos. Sin embargo, también puedes crear tus propias combinaciones de permisos si creas funciones personalizadas de IAM.

Práctica recomendada

Te recomendamos que crees Grupos de Google para administrar el acceso a los proyectos de Google Cloud:

Controles del servicio de VPC

Para tener más control sobre el acceso a los datos de supervisión, usa los Controles del servicio de VPC además de IAM.

Los Controles del servicio de VPC brindan seguridad adicional para Cloud Monitoring a fin de mitigar el riesgo de robo de datos. Si usas los Controles del servicio de VPC, puedes agregar un permiso de métricas a un perímetro de servicio que proteja los recursos y servicios de Cloud Monitoring de las solicitudes que se originan fuera del perímetro.

Para obtener más información sobre los perímetros de servicio, consulta la documentación de configuración del perímetro de servicio de los Controles del servicio de VPC.

Para obtener información sobre la compatibilidad de Monitoring con los controles del servicio de VPC, incluidas las limitaciones conocidas, consulta la documentación de los controles del servicio de VPC.

Otorga acceso a Cloud Monitoring

Si quieres administrar los roles de IAM de las principales, puedes usar la página Identity and Access Management de la consola de Google Cloud o Google Cloud CLI. Sin embargo, Cloud Monitoring proporciona una interfaz simplificada que te permite administrar las funciones específicas de Monitoring, las funciones a nivel de proyecto y las funciones comunes de Cloud Logging y Cloud Trace.

Para otorgar a las principales acceso a Monitoring, Cloud Logging o Cloud Trace, o otorgar un rol a nivel de proyecto, haz lo siguiente:

Console

  1. En el panel de navegación de la consola de Google Cloud, selecciona Monitoring y, luego,  Permisos:

    Ir a Permisos

    En la página Permisos, no se muestran todas las principales. Solo se enumeran las principales que tienen una función a nivel de proyecto o una función específica de Monitoring, Logging o Trace.

    Las opciones de esta página te permiten ver todas las principales cuyas funciones incluyen cualquier permiso de Monitoring.

  2. Haz clic en Otorgar acceso.

  3. Haz clic en Principales nuevas y, luego, ingresa el nombre de usuario de la principal. Puedes agregar varias principales.

  4. Expande Seleccionar un rol, elige un valor del menú Por producto o servicio y, luego, selecciona un rol en el menú Funciones:

    Selección por producto o servicio Selección de Roles Descripción
    Supervisión Visualizador de Monitoring Visualizar los datos y la información de configuración de Monitoring Por ejemplo, las principales con este rol pueden ver los paneles personalizados y las políticas de alertas.
    Supervisión Editor de Monitoring Visualiza datos de Monitoring y crea y edita configuraciones. Por ejemplo, las principales con este rol pueden crear paneles personalizados y políticas de alertas.
    Supervisión Administrador de Monitoring Visualiza datos de Monitoring, crea y edita parámetros de configuración, y modifica el permiso de métricas.
    Cloud Trace Usuario de Cloud Trace Acceso total a la consola de Trace, acceso de lectura a los seguimientos y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Funciones de Trace.
    Cloud Trace Administrador de Cloud Trace Acceso total a la consola de Trace, acceso de lectura y escritura a los seguimientos y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Funciones de Trace.
    Logging Visor de registros Tiene acceso de lectura a los registros. Para obtener más información, consulta Funciones de Logging.
    Logging Administrador de Logging Tiene acceso completo a todas las funciones de Cloud Logging. Para obtener más información, consulta Roles de Logging.
    Proyecto Visualizador Tiene acceso de lectura a la mayoría de los recursos de Google Cloud.
    Proyecto Editor Puede ver, crear, actualizar y borrar la mayoría de los recursos de Google Cloud.
    Proyecto Propietario Acceso completo a la mayoría de los recursos de Google Cloud.
  5. Opcional: Para otorgar otro rol a las mismas principales, haz clic en Agregar otro rol y repite el paso anterior.

  6. Haz clic en Guardar.

En los pasos anteriores, se describe cómo otorgar ciertos roles a una principal mediante las páginas de Monitoring en la consola de Google Cloud. Para estos roles, esta página también admite opciones de edición y eliminación:

  • Para quitar roles de una principal, selecciona la casilla junto a esta y haz clic en Quitar acceso.

  • Para editar los roles de una principal, haz clic en Editar. Después de actualizar la configuración, haz clic en Guardar.

gcloud

Usa el comando gcloud projects add-iam-policy-binding para otorgar la función monitoring.viewer o monitoring.editor.

Por ejemplo:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Puedes confirmar las funciones otorgadas con el comando gcloud projects get-iam-policy:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Roles predefinidos

En esta sección, se enumera un subconjunto de funciones de IAM predefinidas por Cloud Monitoring.

Funciones de Monitoring

Las siguientes funciones otorgan permisos para Monitoring:

Título del
nombre
Permisos incluidos
roles/monitoring.viewer
Visualizador de Monitoring
Otorga acceso de solo lectura a Monitoring en la consola de Google Cloud y a la API de Cloud Monitoring.
roles/monitoring.editor
Editor de Monitoring
Otorga acceso de lectura y escritura a Monitoring en la consola de Google Cloud y a la API de Cloud Monitoring.
roles/monitoring.admin
Administrador de Monitoring
Otorga acceso completo a Monitoring en la consola de Google Cloud y acceso de lectura y escritura a la API de Cloud Monitoring.

Las cuentas de servicio usan la siguiente función para el acceso de solo escritura:

Título del
nombre
Descripción
roles/monitoring.metricWriter
Escritor de métricas de Monitoring

Esta función es para agentes y cuentas de servicio.
No permite el acceso a Monitoring en la consola de Google Cloud.
Permite escribir datos de supervisión en un permiso de métricas.

Roles de la política de alertas

Los siguientes roles otorgan permisos para las políticas de alertas:

Título del
nombre
Descripción
roles/monitoring.alertPolicyViewer
Visualizador de políticas de alertas de Monitoring
Otorga acceso de solo lectura a las políticas de alertas.
roles/monitoring.alertPolicyEditor
Editor de políticas de alertas de Monitoring
Otorga acceso de lectura y escritura a las políticas de alertas.

Roles del panel

Las siguientes funciones otorgan permisos solo para los paneles:

Título del
nombre
Descripción
roles/monitoring.dashboardViewer
Visualizador de configuración del panel de Monitoring
Otorga acceso de solo lectura a las configuraciones del panel.
roles/monitoring.dashboardEditor
Editor de configuración del panel de Monitoring
Otorga acceso de lectura y escritura a las configuraciones del panel.

Funciones de incidentes

Las siguientes funciones otorgan permisos solo para incidentes:

Título del
nombre
Descripción
roles/monitoring.cloudConsoleIncidentViewer
Visualizador de incidentes de la consola de Cloud de Monitoring
Otorga acceso para ver incidentes mediante la consola de Google Cloud.
roles/monitoring.cloudConsoleIncidentEditor
Editor de incidentes de la consola de Cloud para supervisar
Otorga acceso para ver, confirmar y cerrar incidentes mediante la consola de Google Cloud.

Para obtener información sobre cómo resolver errores de permiso de IAM cuando se ven incidentes, consulta No se pueden ver los detalles de incidentes debido a un error de permiso.

Funciones del canal de notificaciones

Las siguientes funciones otorgan permisos solo para los canales de notificaciones:

Título del
nombre
Descripción
roles/monitoring.notificationChannelViewer
Visualizador de canales de notificaciones de Monitoring
Otorga acceso de solo lectura a los canales de notificaciones.
roles/monitoring.notificationChannelEditor
Editor de canales de notificaciones de Monitoring
Otorga acceso de lectura y escritura a los canales de notificaciones.

Funciones de posposición de notificaciones

Los siguientes roles otorgan permisos para posponer notificaciones:

Título del
nombre
Descripción
roles/monitoring.snoozeViewer
Visualizador de alertas pospuestas de Monitoring
Otorga acceso de solo lectura a las alertas pospuestas.
roles/monitoring.snoozeEditor
Editor de control de alertas pospuestas
Otorga acceso de lectura y escritura a las alertas pospuestas.

Funciones de supervisión del servicio

Las siguientes funciones otorgan permisos para administrar servicios:

Título del
nombre
Descripción
roles/monitoring.servicesViewer
Visualizador de servicios de Monitoring
Otorga acceso de solo lectura a los servicios.
roles/monitoring.servicesEditor
Editor de servicios de Monitoring
Otorga acceso de lectura y escritura a los servicios.

Para obtener más información sobre la supervisión de servicios, consulta Supervisión de SLO.

Roles de configuración de verificaciones de tiempo de actividad

Las siguientes funciones otorgan permisos solo para la configuración de verificaciones de tiempo de actividad:

Título del
nombre
Descripción
roles/monitoring.uptimeCheckConfigViewer
Visualizador de configuración de verificaciones de tiempo de actividad de Monitoring
Otorga acceso de solo lectura a las configuraciones de verificación de tiempo de actividad.
roles/monitoring.uptimeCheckConfigEditor
Editor de configuración de verificaciones de tiempo de actividad de Monitoring
Otorga acceso de lectura y escritura a los parámetros de configuración de verificaciones de tiempo de actividad.

Roles de configuración de los permisos de métricas

Las siguientes funciones otorgan permisos generales para los permisos de métricas:

Título del
nombre
Descripción
roles/monitoring.metricsScopesViewer
Visualizador de permisos de métricas de supervisión
Otorga acceso de solo lectura a los permisos de las métricas.
roles/monitoring.metricsScopesAdmin
Administrador de permisos de métricas de supervisión
Otorga acceso de lectura y escritura a los permisos de las métricas.

Permisos para roles predefinidos

En esta sección, se enumeran los permisos asignados a las funciones predefinidas asociadas con Monitoring.

Para obtener más información sobre las funciones predefinidas, consulta IAM: Funciones y permisos. Para obtener ayuda sobre cómo elegir las funciones predefinidas más apropiadas, consulta Elige funciones predefinidas.

Permisos para los roles de Monitoring

Role Permissions

(roles/monitoring.admin)

Provides the same access as the Monitoring Editor role (roles/monitoring.editor).

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.publicWidgets.create
  • monitoring.publicWidgets.delete
  • monitoring.publicWidgets.get
  • monitoring.publicWidgets.list
  • monitoring.publicWidgets.update
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.publicWidgets.*

  • monitoring.publicWidgets.create
  • monitoring.publicWidgets.delete
  • monitoring.publicWidgets.get
  • monitoring.publicWidgets.list
  • monitoring.publicWidgets.update

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.publicWidgets.get

monitoring.publicWidgets.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Permisos para los roles de Ops Config Monitoring

Role Permissions

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Permisos para los roles de Stackdriver

Role Permissions

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Permisos de Monitoring incluidos en los roles de Google Cloud

Las funciones de Google Cloud incluyen estos permisos:

Título del
nombre
Permisos incluidos
roles/viewer
Visualizador
Los permisos de Monitoring son los mismos que los de roles/monitoring.viewer.
roles/editor
Editor

Los permisos de Monitoring son los mismos de roles/monitoring.editor, excepto el permiso stackdriver.projects.edit. La función roles/editor no incluye el permiso stackdriver.projects.edit.

Este rol no otorga permisos para modificar un permiso de métricas. Para modificar un permiso de métricas cuando usas la API, tu función debe incluir el permiso monitoring.metricsScopes.link. Para modificar un permiso de métricas cuando usas la consola de Google Cloud, tu rol debe incluir el permiso monitoring.metricsScopes.link o debes tener el rol roles/monitoring.editor.

roles/owner
Propietario
Los permisos de Monitoring son los mismos que los de roles/monitoring.admin.

Roles personalizados

Se recomienda crear una función personalizada si deseas otorgar a una principal un conjunto de permisos más limitado que los que se otorgaron con roles predefinidos. Por ejemplo, si configuras Assured Workloads porque tienes requisitos de residencia de datos o de nivel de impacto 4 (IL4), no deberías usar verificaciones de tiempo de actividad, ya que no hay garantía de que los datos de la verificación de tiempo de actividad se mantengan en una ubicación geográfica específica. Para evitar el uso de verificaciones de tiempo de actividad, crea una función que no incluya ningún permiso con el prefijo monitoring.uptimeCheckConfigs.

Para crear una función personalizada con permisos de Monitoring, realiza las siguientes acciones:

  • Para una función que otorgue permisos solo a la API de Monitoring, elige los permisos de la sección Permisos y funciones predefinidas.

  • Para un rol que otorgue permisos para Monitoring en la consola de Google Cloud, elige entre los grupos de permisos en la sección Roles de Monitoring.

  • Para otorgar la capacidad de escribir datos de supervisión, incluye los permisos de la función roles/monitoring.metricWriter en la sección Permisos y funciones predefinidas.

Para obtener más información sobre las funciones personalizadas, consulta Comprende las funciones personalizadas de IAM.

Permisos de acceso de Compute Engine

Los niveles de acceso son el método heredado de especificar permisos para tus instancias de VM de Compute Engine. Los siguientes niveles de acceso se aplican a Monitoring:

Nivel de acceso Permisos otorgados
https://www.googleapis.com/auth/monitoring.read Los mismos permisos que en roles/monitoring.viewer
https://www.googleapis.com/auth/monitoring.write Los mismos permisos que en roles/monitoring.metricWriter
https://www.googleapis.com/auth/monitoring Acceso completo a Monitoring
https://www.googleapis.com/auth/cloud-platform Acceso completo a todas las API de Cloud habilitadas

Para obtener más información, consulta Permisos de acceso.

Prácticas recomendadas: Una práctica recomendada es otorgar a las instancias de VM el permiso de acceso más potente (cloud-platform) y, luego, usar las funciones de IAM para restringir el acceso a API y operaciones específicas. Para obtener más información, consulta Permisos de la cuenta de servicio.