Controlar o acesso com o IAM

Para usar o Monitoring, é preciso ter as permissões apropriadas do Identity and Access Management (IAM). Em geral, cada método REST em uma API tem uma permissão associada. Para usar o método ou um recurso de console que dependa dele, você precisa ter permissão para usar o método correspondente. As permissões não são concedidas diretamente aos usuários. Em vez disso, elas são concedidas indiretamente por meio de papéis, que agrupam várias permissões para facilitar o gerenciamento delas:

Para informações sobre controle de acesso, consulte Conceitos relacionados ao gerenciamento de acesso.

Para mais informações sobre como conceder papéis aos principais, consulte Conceder acesso ao Cloud Monitoring.

Os papéis para combinações comuns de permissões são predefinidos para você. No entanto, também é possível criar suas próprias combinações de permissões com a criação de papéis personalizados do IAM.

Prática recomendada

Recomendamos que você crie Grupos do Google para gerenciar o acesso aos projetos do Google Cloud:

Para mais informações, consulte Como gerenciar grupos no console do Google Cloud.
Para informações sobre como definir limites em papéis, consulte Definir limites para a concessão de papéis.
Para uma lista completa de papéis e permissões do IAM, consulte a Referência de papéis básicos e predefinidos do IAM.

VPC Service Controls

Para ter mais acesso de controle aos dados de monitoramento, use o VPC Service Controls, além do IAM.

O VPC Service Controls oferece segurança adicional para o Cloud Monitoring, o que ajuda a reduzir o risco de filtração externa de dados. Com o VPC Service Controls, é possível adicionar um escopo de métricas a um perímetro de serviço que protege os recursos e serviços do Cloud Monitoring contra solicitações originadas de fora do perímetro.

Saiba mais sobre perímetros de serviço na documentação de configuração dos perímetros de serviço do VPC Service Controls.

Para informações sobre o suporte do Monitoring para o VPC Service Controls, incluindo limitações conhecidas, consulte a documentação do VPC Service Controls do Monitoring.

Conceder acesso ao Cloud Monitoring

Para gerenciar os papéis do IAM para principais, use a página do Identity and Access Management no console do Google Cloud ou a Google Cloud CLI. No entanto, o Cloud Monitoring fornece uma interface simplificada que permite gerenciar os papéis específicos do Monitoring, os papéis para envolvidos no projeto e os papéis comuns do Cloud Logging e do Cloud Trace.

Para conceder aos principais acesso ao Monitoring, Cloud Logging ou Cloud Trace ou conceder um papel no nível do projeto, faça o seguinte:

Console

No painel de navegação do console do Google Cloud, selecione Monitoramento e Permissões:
Acesse Permissões

A página Permissões não exibe todos os principais. Ela só lista os principais que têm um papel para envolvidos no projeto ou um papel específico do Monitoring, Logging ou Trace.

Com as opções nesta página, é possível visualizar todos os principais com papéis que incluem qualquer permissão do Monitoring.
Clique em CONCEDER ACESSO.
Clique em Novas principais e digite o nome de usuário da principal. É possível adicionar vários principais.

Expanda Selecionar um papel, selecione um valor no menu Por produto ou serviço e, em seguida, selecione um papel no menu Papéis:

Por seleção de produto ou serviço	Seleção de Papéis	Descrição
Monitoramento	Visualizador de monitoramento	Visualizar os dados do Monitoring e as informações de configuração. Por exemplo, os participantes com esse papel podem acessar painéis personalizados e políticas de alertas.
Monitoramento	Editor do Monitoring	Acesse os dados do Monitoring, crie e edite configurações. Por exemplo, os principais com esse papel podem criar painéis personalizados e políticas de alerta.
Monitoramento	Administrador do Monitoring	Acessar os dados do Monitoring, criar e editar configurações e modificar o escopo de métricas.
Cloud Trace	Usuário do Cloud Trace	Acesso total ao console do Trace, acesso de leitura aos traces e acesso de leitura e gravação aos coletores. Para mais informações, consulte Papéis do Trace.
Cloud Trace	Administrador do Cloud Trace	Acesso total ao console do Trace, acesso de leitura/gravação aos traces e acesso de leitura/gravação aos coletores. Para mais informações, consulte Papéis do Trace.
Geração de registros	Visualizador de registros	Acesso de leitura aos registros. Para mais informações, consulte Papéis do Logging.
Geração de registros	Administrador do Logging	Acesso total a todos os recursos do Cloud Logging. Para mais informações, consulte Papéis do Logging.
Projeto	Visualizador	Acesso de leitura à maioria dos recursos do Google Cloud.
Projeto	Editor	Visualize, crie, atualize e exclua a maioria dos recursos do Google Cloud.
Projeto	Proprietário	Acesso total à maioria dos recursos do Google Cloud.

Opcional: para conceder outro papel aos mesmos principais, clique em Adicionar outro papel e repita a etapa anterior.
Clique em Salvar.

As etapas anteriores descrevem como conceder determinados papéis a um principal usando as páginas do Monitoring no console do Google Cloud. Para esses papéis, a página também aceita opções de edição e exclusão:

Para remover papéis de uma principal, selecione a caixa ao lado do principal e clique em Remover acesso.
Para editar os papéis de um principal, clique em Editar. Depois de atualizar as configurações, clique em Salvar.

gcloud

Use o comando gcloud projects add-iam-policy-binding para conceder o papel monitoring.viewer ou monitoring.editor.

Exemplo:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Use o comando gcloud projects get-iam-policy para confirmar os papéis concedidos:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Papéis predefinidos

Nesta seção, listamos um subconjunto de papéis do IAM predefinidos pelo Cloud Monitoring.

Papéis do Monitoring

Os papéis a seguir concedem permissões gerais para o Monitoring:

Nome Cargo	Inclui as permissões
`roles/monitoring.viewer` Leitor do Monitoring	Concede acesso somente leitura ao Monitoring no console do Google Cloud e ao na API Cloud Monitoring.
`roles/monitoring.editor` Editor do Monitoring	Concede acesso de leitura e gravação ao Monitoring no console do Google Cloud e ao na API Cloud Monitoring.
`roles/monitoring.admin` Administrador do Monitoring	Concede acesso total ao Monitoring no console do Google Cloud e ao acesso de leitura e gravação à API Cloud Monitoring.

O papel a seguir é usado pelas contas de serviço para acesso somente de gravação:

Nome Cargo	Descrição
`roles/monitoring.metricWriter` Gravador de métricas do Monitoring	Esse papel é destinado a contas de serviço e agentes. Não permite acesso ao Monitoring no console do Google Cloud. Permite gravar dados de monitoramento em um escopo de métricas.

Papéis da política de alertas

Os papéis a seguir concedem permissões para políticas de alertas:

Nome Cargo	Descrição
`roles/monitoring.alertPolicyViewer` Visualizador de AlertPolicy do Monitoring	Concede acesso somente leitura às políticas de alertas.
`roles/monitoring.alertPolicyEditor` Editor de AlertPolicy do Monitoring	Concede acesso de leitura e gravação às políticas de alertas.

Funções do painel

Os papéis a seguir concedem permissões somente para painéis:

Nome Cargo	Descrição
`roles/monitoring.dashboardViewer` Visualizador de configuração de painel do Monitoring	Concede acesso somente leitura às configurações do painel.
`roles/monitoring.dashboardEditor` Editor de configuração de painel do Monitoring	Concede acesso de leitura e gravação às configurações do painel.

Papéis do incidente

Os papéis a seguir concedem permissões somente para incidentes:

Nome Cargo	Descrição
`roles/monitoring.cloudConsoleIncidentViewer` Como monitorar o visualizador de incidentes do console do Cloud	Concede acesso para ler incidentes usando o console do Google Cloud.
`roles/monitoring.cloudConsoleIncidentEditor` Como monitorar o editor de incidentes do console do Cloud	Concede acesso para visualizar, confirmar e encerrar incidentes usando o console do Google Cloud.

Para informações sobre como resolver erros de permissão do IAM ao visualizar incidentes, consulte Não é possível ver os detalhes do incidente devido a um erro de permissão.

Funções do canal de notificação

Os papéis a seguir concedem permissões apenas para canais de notificação:

Nome Cargo	Descrição
`roles/monitoring.notificationChannelViewer` Visualizador de NotificationChannel do Monitoring	Concede acesso somente leitura a canais de notificação.
`roles/monitoring.notificationChannelEditor` Editor de NotificationChannel do Monitoring	Concede acesso de leitura e gravação a canais de notificação.

Adiar funções de notificação

Os seguintes papéis concedem permissões para adiar notificações:

Nome Cargo	Descrição
`roles/monitoring.snoozeViewer` Leitor de adiamento do Monitoring	Concede acesso para ler a sonecas.
`roles/monitoring.snoozeEditor` Editor de adiamento do Monitoring	Concede acesso de leitura e gravação a adiamentos.

Papéis do Service Monitoring

Os papéis a seguir concedem permissões para o gerenciamento de serviços:

Nome Cargo	Descrição
`roles/monitoring.servicesViewer` Visualizador dos serviços do Monitoring	Concede acesso somente leitura a serviços.
`roles/monitoring.servicesEditor` Editor dos serviços do Monitoring	Concede acesso de leitura e gravação aos serviços.

Para mais informações sobre o monitoramento de serviços, consulte Monitoramento de SLO.

Papéis de configuração de verificação de tempo de atividade

Os papéis a seguir concedem permissões somente para configurações da verificação de tempo de atividade:

Nome Cargo	Descrição
`roles/monitoring.uptimeCheckConfigViewer` Visualizador de configurações de verificação de tempo de atividade do Monitoring	Concede acesso somente leitura a configurações de verificação de tempo de atividade.
`roles/monitoring.uptimeCheckConfigEditor` Editor de configurações de verificação de tempo de atividade do Monitoring	Concede acesso de leitura e gravação a configurações de verificação de tempo de atividade.

Papéis de configuração do escopo de métricas

Os papéis a seguir concedem permissões gerais para escopos de métricas:

Nome Cargo	Descrição
`roles/monitoring.metricsScopesViewer` Leitor de escopos de métricas de monitoramento	Concede acesso somente leitura a escopos de métricas.
`roles/monitoring.metricsScopesAdmin` Administrador de escopos de métricas do Monitoring	Concede acesso de leitura e gravação a escopos de métricas.

Permissões para papéis predefinidos

Nesta seção, listamos as permissões atribuídas aos papéis predefinidos associados ao Monitoring.

Para mais informações sobre papéis predefinidos, consulte IAM: papéis e permissões. Para ajuda na escolha dos papéis predefinidos mais apropriados, consulte Escolher papéis predefinidos.

Permissões dos papéis do Monitoring

Role Permissions

Role	Permissions
Monitoring Admin (`roles/monitoring.admin`) Provides the same access as the Monitoring Editor role (`roles/monitoring.editor`). Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.update` `monitoring.dashboards.create` `monitoring.dashboards.delete` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.update` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.metricsScopes.link` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.getVerificationCode` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.publicWidgets.create` `monitoring.publicWidgets.delete` `monitoring.publicWidgets.get` `monitoring.publicWidgets.list` `monitoring.publicWidgets.update` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.*` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring AlertPolicy Editor (`roles/monitoring.alertPolicyEditor`) Read/write access to alerting policies.	`monitoring.alertPolicies.*` `monitoring.alertPolicies.create` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.update`
Monitoring AlertPolicy Viewer (`roles/monitoring.alertPolicyViewer`) Read-only access to alerting policies.	`monitoring.alertPolicies.get` `monitoring.alertPolicies.list`
Monitoring Cloud Console Incident Editor ^Beta (`roles/monitoring.cloudConsoleIncidentEditor`) Read/write access to incidents from Cloud Console.
Monitoring Cloud Console Incident Viewer ^Beta (`roles/monitoring.cloudConsoleIncidentViewer`) Read access to incidents from Cloud Console.
Monitoring Dashboard Configuration Editor (`roles/monitoring.dashboardEditor`) Read/write access to dashboard configurations.	`monitoring.dashboards.*` `monitoring.dashboards.create` `monitoring.dashboards.delete` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.update`
Monitoring Dashboard Configuration Viewer (`roles/monitoring.dashboardViewer`) Read-only access to dashboard configurations.	`monitoring.dashboards.get` `monitoring.dashboards.list`
Monitoring Editor (`roles/monitoring.editor`) Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.update` `monitoring.dashboards.` `monitoring.dashboards.create` `monitoring.dashboards.delete` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.update` `monitoring.groups.` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.publicWidgets.` `monitoring.publicWidgets.create` `monitoring.publicWidgets.delete` `monitoring.publicWidgets.get` `monitoring.publicWidgets.list` `monitoring.publicWidgets.update` `monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring Metric Writer (`roles/monitoring.metricWriter`) Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role: Project	`monitoring.metricDescriptors.create` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.*` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.timeSeries.create`
Monitoring Metrics Scopes Admin ^Beta (`roles/monitoring.metricsScopesAdmin`) Access to add and remove monitored projects from metrics scopes.	`monitoring.metricsScopes.link` `resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring Metrics Scopes Viewer ^Beta (`roles/monitoring.metricsScopesViewer`) Read-only access to metrics scopes and their monitored projects.	`resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring NotificationChannel Editor ^Beta (`roles/monitoring.notificationChannelEditor`) Read/write access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify`
Monitoring NotificationChannel Viewer ^Beta (`roles/monitoring.notificationChannelViewer`) Read-only access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list`
Monitoring Services Editor (`roles/monitoring.servicesEditor`) Read/write access to services.	`monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update`
Monitoring Services Viewer (`roles/monitoring.servicesViewer`) Read-only access to services.	`monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list`
Monitoring Snooze Editor (`roles/monitoring.snoozeEditor`)	`monitoring.snoozes.*` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update`
Monitoring Snooze Viewer (`roles/monitoring.snoozeViewer`)	`monitoring.snoozes.get` `monitoring.snoozes.list`
Monitoring Uptime Check Configuration Editor ^Beta (`roles/monitoring.uptimeCheckConfigEditor`) Read/write access to uptime check configurations.	`monitoring.uptimeCheckConfigs.*` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update`
Monitoring Uptime Check Configuration Viewer ^Beta (`roles/monitoring.uptimeCheckConfigViewer`) Read-only access to uptime check configurations.	`monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list`
Monitoring Viewer (`roles/monitoring.viewer`) Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.groups.get` `monitoring.groups.list` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.publicWidgets.get` `monitoring.publicWidgets.list` `monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `opsconfigmonitoring.resourceMetadata.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get` `stackdriver.resourceMetadata.list`

Monitoring Admin

(roles/monitoring.admin)

Provides the same access as the Monitoring Editor role (roles/monitoring.editor).

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.*

monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update
monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update
monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update
monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.metricsScopes.link
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.getVerificationCode
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.publicWidgets.create
monitoring.publicWidgets.delete
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.publicWidgets.update
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update
monitoring.timeSeries.create
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring AlertPolicy Editor

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update

Monitoring AlertPolicy Viewer

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

Monitoring Cloud Console Incident Editor ^Beta

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

Monitoring Cloud Console Incident Viewer ^Beta

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

Monitoring Dashboard Configuration Editor

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update

Monitoring Dashboard Configuration Viewer

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

Monitoring Editor

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update

monitoring.groups.*

monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update

monitoring.metricDescriptors.*

monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.publicWidgets.*

monitoring.publicWidgets.create
monitoring.publicWidgets.delete
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.publicWidgets.update

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

monitoring.timeSeries.*

monitoring.timeSeries.create
monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring Metric Writer

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

Monitoring Metrics Scopes Admin ^Beta

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring Metrics Scopes Viewer ^Beta

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring NotificationChannel Editor ^Beta

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

Monitoring NotificationChannel Viewer ^Beta

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

Monitoring Services Editor

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

Monitoring Services Viewer

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

Monitoring Snooze Editor

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

Monitoring Snooze Viewer

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

Monitoring Uptime Check Configuration Editor ^Beta

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

Monitoring Uptime Check Configuration Viewer ^Beta

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

Monitoring Viewer

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.publicWidgets.get

monitoring.publicWidgets.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Permissões para papéis de monitoramento de configuração de operações

Role Permissions

Role	Permissions
Ops Config Monitoring Resource Metadata Viewer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.viewer`) Read-only access to resource metadata.	`opsconfigmonitoring.resourceMetadata.list`
Ops Config Monitoring Resource Metadata Writer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.	`opsconfigmonitoring.resourceMetadata.write`

Ops Config Monitoring Resource Metadata Viewer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

Ops Config Monitoring Resource Metadata Writer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Permissões para papéis do Stackdriver

Role Permissions

Role	Permissions
Stackdriver Accounts Editor (`roles/stackdriver.accounts.editor`) Read/write access to manage Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.projects.*` `stackdriver.projects.edit` `stackdriver.projects.get`
Stackdriver Accounts Viewer (`roles/stackdriver.accounts.viewer`) Read-only access to get and list information about Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get`
Stackdriver Resource Metadata Writer ^Beta (`roles/stackdriver.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.	`stackdriver.resourceMetadata.write`

Stackdriver Accounts Editor

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

stackdriver.projects.edit
stackdriver.projects.get

Stackdriver Accounts Viewer

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

Stackdriver Resource Metadata Writer ^Beta

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Permissões de monitoramento incluídas nos papéis do Google Cloud

Os papéis do Google Cloud incluem estas permissões:

Nome
Cargo Inclui as permissões

roles/viewer
Leitor As permissões do Monitoring são as mesmas de roles/monitoring.viewer.

Nome Cargo	Inclui as permissões
`roles/viewer` Leitor	As permissões do Monitoring são as mesmas de `roles/monitoring.viewer`.
`roles/editor` Editor	As permissões do Monitoring são as mesmas de `roles/monitoring.editor`, com exceção da permissão `stackdriver.projects.edit`. O papel `roles/editor` não inclui a permissão `stackdriver.projects.edit`. Este papel não concede permissão para modificar um escopo de métricas. Para modificar um escopo de métricas ao usar a API, seu papel precisa incluir a permissão `monitoring.metricsScopes.link`. Para modificar um escopo de métricas ao usar o console do Google Cloud, seu papel precisa incluir a permissão `monitoring.metricsScopes.link` ou você precisa ter o papel `roles/monitoring.editor`.
`roles/owner` Proprietário	As permissões do Monitoring são as mesmas de `roles/monitoring.admin`.

roles/editor
Editor

As permissões do Monitoring são as mesmas de roles/monitoring.editor, com exceção da permissão stackdriver.projects.edit. O papel roles/editor não inclui a permissão stackdriver.projects.edit.

Este papel não concede permissão para modificar um escopo de métricas. Para modificar um escopo de métricas ao usar a API, seu papel precisa incluir a permissão monitoring.metricsScopes.link. Para modificar um escopo de métricas ao usar o console do Google Cloud, seu papel precisa incluir a permissão monitoring.metricsScopes.link ou você precisa ter o papel roles/monitoring.editor.

roles/owner
Proprietário As permissões do Monitoring são as mesmas de roles/monitoring.admin.

papéis personalizados

Talvez você queira criar um papel personalizado quando quiser conceder a um principal um conjunto de permissões mais limitado do que os concedidos com papéis predefinidos. Por exemplo, se você configurar o Assured Workloads porque tem requisitos de residência de dados ou nível 4 de impacto (IL4), não use verificações de tempo de atividade porque não há garantia de que os dados da verificação de tempo de atividade sejam mantidos em uma localização geográfica específica. Para evitar o uso de verificações de tempo de atividade, crie um papel que não inclua nenhuma permissão com o prefixo monitoring.uptimeCheckConfigs.

Para criar um papel personalizado com as permissões do Monitoring, siga estas etapas:

Para um papel que conceda permissões apenas para a API Monitoring, escolha as permissões na seção Permissões e papéis predefinidos.
Para um papel que conceda permissões para o Monitoring no console do Google Cloud, escolha em grupos de permissões na seção Papéis do Monitoring.
Para conceder a capacidade de gravar dados de monitoramento, inclua as permissões do papel roles/monitoring.metricWriter na seção Permissão e papéis predefinidos.

Para mais informações sobre papéis personalizados, consulte Como compreender papéis personalizadas do IAM.

Escopos de acesso do Compute Engine

Os escopos de acesso são o método legado de especificar permissões para as instâncias de VM do Compute Engine. Os escopos de acesso a seguir se aplicam ao Monitoring:

Escopo de acesso	Permissões concedidas
https://www.googleapis.com/auth/monitoring.read	As mesmas permissões de `roles/monitoring.viewer`.
https://www.googleapis.com/auth/monitoring.write	As mesmas permissões de `roles/monitoring.metricWriter`.
https://www.googleapis.com/auth/monitoring	Acesso completo ao Monitoring.
https://www.googleapis.com/auth/cloud-platform	Acesso completo a todas as APIs do Cloud ativadas.

Para mais detalhes, consulte Escopos de acesso.

Prática recomendada. É uma prática recomendada dar às suas instâncias de VM o escopo de acesso mais poderoso (cloud-platform) e, em seguida, usar os papéis do IAM para restringir o acesso a APIs e operações específicas. Para mais detalhes, consulte Permissões da conta de serviço.

Controlar o acesso com o IAM

Prática recomendada

VPC Service Controls

Conceder acesso ao Cloud Monitoring

Console

gcloud

Papéis predefinidos

Papéis do Monitoring

Papéis da política de alertas

Funções do painel

Papéis do incidente

Funções do canal de notificação

Adiar funções de notificação

Papéis do Service Monitoring

Papéis de configuração de verificação de tempo de atividade

Papéis de configuração do escopo de métricas

Permissões para papéis predefinidos

Permissões dos papéis do Monitoring

Monitoring Admin

Monitoring AlertPolicy Editor

Monitoring AlertPolicy Viewer

Monitoring Cloud Console Incident Editor Beta

Monitoring Cloud Console Incident Viewer Beta

Monitoring Dashboard Configuration Editor

Monitoring Dashboard Configuration Viewer

Monitoring Editor

Monitoring Metric Writer

Monitoring Metrics Scopes Admin Beta

Monitoring Metrics Scopes Viewer Beta

Monitoring NotificationChannel Editor Beta

Monitoring NotificationChannel Viewer Beta

Monitoring Services Editor

Monitoring Services Viewer

Monitoring Snooze Editor

Monitoring Snooze Viewer

Monitoring Uptime Check Configuration Editor Beta

Monitoring Uptime Check Configuration Viewer Beta

Monitoring Viewer

Permissões para papéis de monitoramento de configuração de operações

Ops Config Monitoring Resource Metadata Viewer Beta

Ops Config Monitoring Resource Metadata Writer Beta

Permissões para papéis do Stackdriver

Stackdriver Accounts Editor

Stackdriver Accounts Viewer

Stackdriver Resource Metadata Writer Beta

Permissões de monitoramento incluídas nos papéis do Google Cloud

papéis personalizados

Escopos de acesso do Compute Engine

Monitoring Cloud Console Incident Editor ^Beta

Monitoring Cloud Console Incident Viewer ^Beta

Monitoring Metrics Scopes Admin ^Beta

Monitoring Metrics Scopes Viewer ^Beta

Monitoring NotificationChannel Editor ^Beta

Monitoring NotificationChannel Viewer ^Beta

Monitoring Uptime Check Configuration Editor ^Beta

Monitoring Uptime Check Configuration Viewer ^Beta

Ops Config Monitoring Resource Metadata Viewer ^Beta

Ops Config Monitoring Resource Metadata Writer ^Beta

Stackdriver Resource Metadata Writer ^Beta