IAM으로 액세스 제어

Monitoring을 사용하려면 적절한 Identity and Access Management(IAM) 권한이 있어야 합니다. 일반적으로 한 API의 REST 메서드마다 연결된 권한이 하나씩 있습니다. 이 메서드 또는 이 메서드를 사용하는 콘솔 기능을 사용하려면 해당 메서드를 사용할 수 있는 권한이 있어야 합니다. 권한은 사용자에게 직접 부여되지 않습니다. 대신 역할을 통해 간접적으로 부여되며 역할에 따라 여러 권한이 그룹화되기 때문에 관리가 더욱 쉬워집니다.

일반적인 권한 조합의 역할은 사전 정의되어 있습니다. 하지만 IAM 커스텀 역할을 만들어 자체적인 권한 조합을 만들 수도 있습니다.

권장사항

Google Cloud 프로젝트에 대한 액세스 관리를 위해 Google 그룹을 만드는 것이 좋습니다.

VPC 서비스 제어

모니터링 데이터에 대한 액세스를 추가로 제어하려면 IAM 외에 VPC 서비스 제어를 사용하세요.

VPC 서비스 제어는 Cloud Monitoring의 보안을 강화하여 데이터 유출 위험을 줄입니다. VPC 서비스 제어를 사용하면 경계 외부에서 시작되는 요청으로부터 Cloud Monitoring 리소스 및 서비스를 보호하는 서비스 경계에 측정항목 범위를 추가할 수 있습니다.

서비스 경계에 대한 자세한 내용은 VPC 서비스 제어 서비스 경계 구성 문서를 참조하세요.

알려진 제한사항을 포함하여 VPC 서비스 제어에 대한 Monitoring 지원 관련 정보는 Monitoring VPC 서비스 제어 문서를 참조하세요.

Cloud Monitoring에 액세스 부여

주 구성원의 IAM 역할을 관리하려면 Google Cloud 콘솔 또는 Google Cloud CLI에서 Identity and Access Management 페이지를 사용하면 됩니다. 하지만 Cloud Monitoring은 Monitoring 관련 역할, 프로젝트 수준 역할, Cloud Logging 및 Cloud Trace의 일반적인 역할을 관리할 수 있는 간소화된 인터페이스를 제공합니다.

주 구성원에 Monitoring, Cloud Logging, Cloud Trace에 대한 액세스 권한을 부여하거나 프로젝트 수준 역할을 부여하려면 다음을 수행합니다.

Console

  1. Google Cloud 콘솔에서  권한 페이지로 이동합니다.

    권한으로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.

    권한 페이지에는 모든 주 구성원이 표시되지는 않습니다. 프로젝트 수준 역할 또는 Monitoring, Logging, Trace와 관련된 역할이 있는 주 구성원만 표시됩니다.

    이 페이지의 옵션을 통해 역할에 Monitoring 권한이 포함된 모든 주 구성원을 볼 수 있습니다.

  2. 액세스 권한 부여를 클릭합니다.

  3. 새 주 구성원을 클릭하고 주 구성원의 사용자 이름을 입력합니다. 여러 주 구성원을 추가할 수 있습니다.

  4. 확장 역할 선택 에서 제품 또는 서비스별 메뉴에서 역할을 선택하고역할 메뉴를 사용합니다.

    제품 또는 서비스별 선택 역할 선택 설명
    모니터링 모니터링 뷰어 모니터링 데이터 및 구성 정보를 확인합니다. 예를 들어 이 역할이 있는 주 구성원은 커스텀 대시보드알림 정책을 볼 수 있습니다.
    모니터링 모니터링 편집자 Monitoring 데이터를 보고 구성을 생성 및 수정합니다. 예를 들어 이 역할이 있는 주 구성원은 커스텀 대시보드알림 정책을 만들 수 있습니다.
    모니터링 모니터링 관리자 모니터링 데이터를 보고, 구성을 생성 및 수정하고, 측정항목 범위를 수정할 수 있습니다.
    Cloud Trace Cloud Trace 사용자 Trace 콘솔에 대한 전체 액세스 권한, 추적에 대한 읽기 액세스 권한, 싱크에 대한 읽기-쓰기 액세스 권한입니다. 자세한 내용은 Trace 역할을 참고하세요.
    Cloud Trace Cloud Trace 관리자 Trace 콘솔에 대한 전체 액세스 권한, 추적에 대한 읽기 액세스 권한, 싱크에 대한 읽기-쓰기 액세스 권한입니다. 자세한 내용은 Trace 역할을 참고하세요.
    로깅 로그 뷰어 로그에 대한 보기 액세스 권한입니다. 자세한 내용은 Logging 역할을 참조하세요.
    로깅 로깅 관리자 Cloud Logging의 모든 기능에 대한 전체 액세스 권한입니다. 자세한 내용은 Logging 역할을 참조하세요.
    프로젝트 뷰어 대부분의 Google Cloud 리소스에 대한 보기 액세스 권한입니다.
    프로젝트 편집자 대부분의 Google Cloud 리소스를 확인, 생성, 업데이트, 삭제합니다.
    프로젝트 소유자 대부분의 Google Cloud 리소스에 대한 전체 액세스 권한입니다.
  5. (선택사항) 동일한 주 구성원에 다른 역할을 부여하려면 다른 역할 추가를 클릭하고 이전 단계를 반복합니다.

  6. 저장을 클릭합니다.

이전 단계에서는 Google Cloud 콘솔에서 Monitoring 페이지를 사용하여 주 구성원 특정 역할을 부여하는 방법을 설명합니다. 이러한 역할의 경우 이 페이지에서 수정 및 삭제 옵션도 지원합니다.

  • 주 구성원의 역할을 삭제하려면 주 구성원 옆에 있는 상자를 선택한 후 액세스 권한 삭제를 클릭합니다.

  • 주 구성원의 역할을 수정하려면 수정을 클릭합니다. 설정을 업데이트한 후 저장을 클릭합니다.

gcloud

gcloud projects add-iam-policy-binding 명령어를 사용하여 monitoring.viewer 또는 monitoring.editor 역할을 부여합니다.

예를 들면 다음과 같습니다.

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

gcloud projects get-iam-policy 명령어를 사용하여 부여된 역할을 확인할 수 있습니다.

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

사전 정의된 역할

이 섹션에는 Cloud Monitoring에서 사전 정의된 IAM 역할의 하위 집합이 나와 있습니다.

Monitoring 역할

다음 역할은 일반적인 Monitoring 권한을 부여합니다.

이름
직함
포함된 권한
roles/monitoring.viewer
모니터링 뷰어
Google Cloud 콘솔 및 Cloud Monitoring API에서 모니터링에 대한 읽기 전용 액세스 권한을 부여합니다.
roles/monitoring.editor
모니터링 편집자
Google Cloud 콘솔의 Monitoring 및 Cloud Monitoring API에 대한 읽기/쓰기 액세스 권한을 부여합니다.
roles/monitoring.admin
모니터링 관리자
Google Cloud 콘솔 및 Cloud Monitoring API의 Monitoring에 대한 전체 액세스 권한을 부여합니다.

쓰기 전용 액세스를 위해 서비스 계정에서 사용되는 역할은 다음과 같습니다.

이름
직함
설명
roles/monitoring.metricWriter
모니터링 측정항목 작성자

이 역할은 서비스 계정 및 상담사를 위한 역할입니다.
Google Cloud 콘솔에서 Monitoring에 대한 액세스를 허용하지 않습니다.
측정항목 범위에 모니터링 데이터를 쓸 수 있습니다.

알림 정책 역할

다음 역할은 알림 정책 관련 권한을 부여합니다.

이름
직함
설명
roles/monitoring.alertPolicyViewer
모니터링 알림 정책 뷰어
알림 정책에 대한 읽기 전용 액세스 권한을 부여합니다.
roles/monitoring.alertPolicyEditor
모니터링 알림 정책 편집자
알림 정책에 대한 읽기/쓰기 액세스 권한을 부여합니다.

대시보드 역할

다음 역할은 대시보드에만 권한을 부여합니다.

이름
직함
설명
roles/monitoring.dashboardViewer
모니터링 대시보드 구성 뷰어
대시보드 구성에 대한 읽기 전용 액세스 권한을 부여합니다.
roles/monitoring.dashboardEditor
모니터링 대시보드 구성 편집자
대시보드 구성에 대한 읽기/쓰기 액세스 권한을 부여합니다.

이슈 역할

다음 역할은 이슈에 대한 권한만 부여합니다.

이름
직함
설명
roles/monitoring.cloudConsoleIncidentViewer
Cloud 콘솔 이슈 모니터링 뷰어
Google Cloud 콘솔을 사용하여 이슈를 볼 수 있는 액세스 권한을 부여합니다.
roles/monitoring.cloudConsoleIncidentEditor
Cloud 콘솔 이슈 모니터링 편집자
Google Cloud 콘솔을 사용하여 이슈를 보고 확인하고 종료할 수 있는 액세스 권한을 부여합니다.

이슈를 볼 때 발생하는 IAM 권한 오류를 해결하는 방법에 대한 자세한 내용은 권한 오류로 인해 이슈 세부정보를 볼 수 없음을 참조하세요.

알림 채널 역할

다음 역할은 알림 채널 관련 권한만 부여합니다.

이름
직함
설명
roles/monitoring.notificationChannelViewer
모니터링 알림 채널 뷰어
알림 채널에 대한 읽기 전용 액세스 권한을 부여합니다.
roles/monitoring.notificationChannelEditor
모니터링 알림 채널 편집자
알림 채널에 대한 읽기/쓰기 액세스 권한을 부여합니다.

알림 역할 일시중지

다음 역할은 알림 일시중지 권한을 부여합니다.

이름
직함
설명
roles/monitoring.snoozeViewer
Monitoring 일시중지 뷰어
일시중지에 대한 읽기 전용 액세스 권한을 부여합니다.
roles/monitoring.snoozeEditor
Monitoring 일시중지 편집자
일시중지에 대한 읽기/쓰기 액세스 권한을 부여합니다.

서비스 모니터링 역할

다음 역할은 서비스 관리를 위한 권한을 부여합니다.

이름
직함
설명
roles/monitoring.servicesViewer
모니터링 서비스 뷰어
서비스에 대한 읽기 전용 액세스 권한을 부여합니다.
roles/monitoring.servicesEditor
모니터링 서비스 편집자
서비스에 대한 읽기/쓰기 액세스 권한을 부여합니다.

서비스 모니터링에 대한 자세한 내용은 SLO 모니터링을 참조하세요.

업타임 체크 구성 역할

다음 역할은 업타임 체크 구성 관련 권한만 부여합니다.

이름
직함
설명
roles/monitoring.uptimeCheckConfigViewer
모니터링 업타임 체크 구성 뷰어
업타임 체크 구성에 대한 읽기 전용 액세스 권한을 부여합니다.
roles/monitoring.uptimeCheckConfigEditor
모니터링 업타임 체크 구성 편집기
업타임 체크 구성에 대한 읽기/쓰기 액세스 권한을 부여합니다.

측정항목 범위 구성 역할

다음 역할은 측정항목 범위에 대한 일반적인 권한을 부여합니다.

이름
직함
설명
roles/monitoring.metricsScopesViewer
모니터링 측정항목 범위 뷰어
측정항목 범위에 대한 읽기 전용 액세스 권한을 부여합니다.
roles/monitoring.metricsScopesAdmin
모니터링 측정항목 범위 관리자
측정항목 범위에 대한 읽기/쓰기 액세스 권한을 부여합니다.

사전 정의된 역할 권한

이 섹션에는 Monitoring과 연결된 사전 정의된 역할에 할당된 권한이 나와 있습니다.

사전 정의된 역할에 대한 자세한 내용은 IAM: 역할 및 권한을 참조하세요. 가장 적절한 사전 정의된 역할을 선택하는 데 도움이 필요하면 사전 정의된 역할 선택을 참조하세요.

Monitoring 역할 권한

Role Permissions

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

작업 구성 모니터링 역할 권한

Role Permissions

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Stackdriver 역할 권한

Role Permissions

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Google Cloud 역할에 포함된 Monitoring 권한

Google Cloud 역할에 포함된 권한은 다음과 같습니다.

이름
직함
포함된 권한
roles/viewer
뷰어
Monitoring 권한은 roles/monitoring.viewer의 권한과 동일합니다.
roles/editor
편집자

Monitoring 권한은 stackdriver.projects.edit 권한을 제외하고 roles/monitoring.editor의 권한과 동일합니다. roles/editor 역할에는 stackdriver.projects.edit 권한이 없습니다.

이 역할은 측정항목 범위를 수정할 수 있는 권한을 부여하지 않습니다. API를 사용할 때 측정항목 범위를 수정하려면 역할에 monitoring.metricsScopes.link 권한이 포함되어야 합니다. Google Cloud 콘솔을 사용할 때 측정항목 범위를 수정하려면 역할에 monitoring.metricsScopes.link 권한이 포함되거나 roles/monitoring.editor 역할이 있어야 합니다.

roles/owner
소유자
Monitoring 권한은 roles/monitoring.admin의 권한과 동일합니다.

커스텀 역할

사전 정의된 역할로 부여된 것보다 더 제한된 권한 집합을 주 구성원에 부여하려는 경우 커스텀 역할을 만들 수 있습니다. 예를 들어 데이터 상주 또는 영향 수준 4(IL4) 요구사항이 있기 때문에 Assured Workloads를 설정한 경우, 업타임 체크 데이터가 특정 지리적 위치에 보관된다는 보장이 없으므로 업타임 체크를 사용해서는 안 됩니다. 업타임 체크 사용을 방지하려면 monitoring.uptimeCheckConfigs 프리픽스가 있는 권한을 포함하지 않는 역할을 만드세요.

Monitoring 권한이 있는 커스텀 역할을 만드는 방법은 다음과 같습니다.

  • Monitoring API 관련 권한만 부여하는 역할이라면 권한 및 사전 정의된 역할 섹션의 권한에서 선택합니다.

  • Google Cloud 콘솔에서 Monitoring에 대한 권한을 부여하는 역할은 Monitoring 역할 섹션의 권한 그룹에서 선택합니다.

  • 모니터링 데이터를 쓸 수 있는 권한을 부여하려면 권한 및 사전 정의된 역할 섹션에서 roles/monitoring.metricWriter 역할의 권한을 포함합니다.

커스텀 역할에 대한 자세한 내용은 IAM 커스텀 역할 이해를 참조하세요.

Compute Engine 액세스 범위

액세스 범위는 Compute Engine VM 인스턴스의 권한을 지정하는 기존의 방법입니다. Monitoring에 적용되는 액세스 범위는 다음과 같습니다.

액세스 범위 부여된 권한
https://www.googleapis.com/auth/monitoring.read roles/monitoring.viewer와 동일한 권한
https://www.googleapis.com/auth/monitoring.write roles/monitoring.metricWriter와 동일한 권한
https://www.googleapis.com/auth/monitoring Monitoring에 대한 전체 액세스 권한
https://www.googleapis.com/auth/cloud-platform 사용 설정된 모든 Cloud API에 대한 전체 액세스 권한

자세한 내용은 액세스 범위를 참조하세요.

권장사항 VM 인스턴스에 가장 강력한 액세스 범위(cloud-platform)를 제공한 후 IAM 역할을 사용하여 특정 API 및 작업에 대한 액세스 권한을 제한하는 것이 좋습니다. 자세한 내용은 서비스 계정 권한을 참조하세요.