Pour utiliser Monitoring, vous devez disposer des autorisations Identity and Access Management (IAM) appropriées. En général, chaque méthode REST d'une API a une autorisation associée. Pour utiliser la méthode ou une fonctionnalité de la console qui en dépend, vous devez être autorisé à utiliser la méthode correspondante. Les autorisations ne sont pas accordées directement aux utilisateurs. les autorisations sont accordées indirectement par le biais de rôles, qui regroupent plusieurs autorisations pour faciliter leur gestion plus facile:
- Pour en savoir plus sur le contrôle des accès, consultez Concepts liés à la gestion des accès.
- Pour en savoir plus sur l'attribution de rôles aux comptes principaux, consultez la page Accorder l'accès à Cloud Monitoring.
Les rôles pour les combinaisons d'autorisations courantes sont prédéfinis. Toutefois, vous pouvez également créer vos propres combinaisons d'autorisations en en créant des rôles personnalisés IAM.
Bonne pratique
Nous vous recommandons de créer des groupes Google pour gérer l'accès aux projets Google Cloud :
- Pour en savoir plus, consultez la section Gérer des groupes dans la console Google Cloud.
- Pour en savoir plus sur la définition de limites sur les rôles, consultez Définissez des limites pour l'attribution de rôles.
- Pour obtenir la liste complète des rôles et des autorisations IAM, consultez Documentation de référence sur les rôles de base et prédéfinis IAM
VPC Service Controls
Pour mieux contrôler l'accès aux données de surveillance, utilisez VPC Service Controls en plus d'IAM.
VPC Service Controls offre une sécurité supplémentaire pour Cloud Monitoring afin de réduire le risque d'exfiltration de données. À l'aide de VPC Service Controls, vous pouvez ajouter un champ d'application des métriques à un périmètre de service afin de protéger les ressources et les services Cloud Monitoring des requêtes provenant de l'extérieur du périmètre.
Pour en savoir plus sur les périmètres de service, consultez la documentation concernant la configuration du périmètre de service VPC Service Controls.
Pour en savoir plus sur la compatibilité de Monitoring avec VPC Service Controls, y compris les limites connues, consultez la documentation sur VPC Service Controls et Monitoring.
Accorder l'accès à Cloud Monitoring
Pour gérer les rôles IAM des comptes principaux, vous pouvez utiliser page Identity and Access Management de la console Google Cloud ou de la Google Cloud CLI. Cependant, Cloud Monitoring offre une interface simplifiée qui vous permet gérer vos rôles spécifiques à Monitoring, vos rôles au niveau du projet, et les rôles communs pour Cloud Logging et Cloud Trace.
Pour accorder aux comptes principaux l'accès à Monitoring, Cloud Logging, ou Cloud Trace, ou pour attribuer un rôle au niveau du projet, procédez comme suit:
Console
-
Dans la console Google Cloud, accédez à la page
Autorisations:Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Monitoring.
La page Autorisations n'affiche pas tous les comptes principaux. Il ne liste que les principaux disposant d'un rôle au niveau du projet ou d'un rôle spécifique à la surveillance, la journalisation ou la traçabilité.
Les options de cette page vous permettent d'afficher tous les comptes principaux ayant les rôles suivants : n'importe quelle autorisation Monitoring.
Cliquez sur
Accorder l'accès.Cliquez sur Nouveaux comptes principaux et saisissez le nom d'utilisateur du compte principal. Vous pouvez ajouter plusieurs principaux.
Développez arrow_drop_down Sélectionner un rôle, sélectionnez une valeur dans le menu Par produit ou service, puis sélectionnez un rôle dans le menu Rôles :
Sélection par produit ou service Sélection des rôles Description Surveillance Lecteur Monitoring Consulter les données de surveillance et les informations de configuration Par exemple, les comptes principaux disposant de ce rôle peuvent afficher tableaux de bord personnalisés règles d'alerte. Surveillance Éditeur Monitoring afficher les données Monitoring ; pour créer et modifier des configurations. Par exemple, les administrateurs disposant de ce rôle peuvent créer des tableaux de bord personnalisés et des règles d'alerte. Surveillance Administrateur Monitoring consulter les données Monitoring ; créer et modifier des configurations, ainsi que modifier champ d'application des métriques. Cloud Trace Utilisateur Cloud Trace Accès complet à la console Trace, accès en lecture aux traces, et un accès en lecture/écriture aux récepteurs. Pour en savoir plus, consultez Rôles Trace Cloud Trace Administrateur Cloud Trace Accès complet à la console Trace, accès en lecture/écriture aux traces, et un accès en lecture/écriture aux récepteurs. Pour en savoir plus, consultez Rôles Trace Journalisation Visionneuse de journaux Accès en lecture aux journaux. Pour en savoir plus, consultez Rôles Logging Journalisation Administrateur Logging Accès complet à toutes les fonctionnalités de Cloud Logging. Pour en savoir plus, consultez la section Rôles de journalisation. Projet Lecteur Accès en lecture à la plupart des ressources Google Cloud. Projet Éditeur Consultez, créez, modifiez et supprimez la plupart des ressources Google Cloud. Projet Propriétaire Accès complet à la plupart des ressources Google Cloud. Facultatif : Pour attribuer un autre rôle aux mêmes comptes principaux, cliquez sur Ajouter un autre rôle, puis répétez l'étape précédente.
Cliquez sur Enregistrer.
Les étapes précédentes décrivent comment attribuer certains rôles à un compte principal en utilisant Pages Monitoring de la console Google Cloud Pour ces rôles, cette page propose également les options de modification et de suppression :
Pour supprimer des rôles pour un compte principal, cochez la case à côté du compte principal, puis cliquez sur
Supprimer l'accès.Pour modifier les rôles d'un compte principal, procédez comme suit : cliquez sur edit Modifier. Une fois les paramètres modifiés, cliquez sur Enregistrer.
gcloud
Utilisez la commande gcloud projects add-iam-policy-binding
pour attribuer le rôle monitoring.viewer
ou monitoring.editor
.
Exemple :
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Vous pouvez confirmer les rôles attribués à l'aide de la commande gcloud projects get-iam-policy
:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Rôles prédéfinis
Cette section répertorie un sous-ensemble de rôles IAM prédéfinis par Cloud Monitoring.
Rôles Monitoring
Les rôles suivants accordent des autorisations générales pour Monitoring :
Titre Nom |
Autorisations associées |
---|---|
roles/monitoring.viewer Lecteur Monitoring |
Accorde un accès en lecture seule à Monitoring dans la console Google Cloud et l'API Cloud Monitoring. |
roles/monitoring.editor Éditeur Monitoring |
Accorde un accès en lecture/écriture à Monitoring dans la console Google Cloud et l'API Cloud Monitoring. |
roles/monitoring.admin Administrateur Monitoring |
Accorde un accès complet à Monitoring dans la console Google Cloud et l'API Cloud Monitoring. |
Le rôle suivant est utilisé par les comptes de service pour l'accès en écriture seule :
Titre Nom |
Description |
---|---|
roles/monitoring.metricWriter Rédacteur de métriques Monitoring |
Ce rôle est destiné aux comptes de service et aux agents. |
Rôles des règles d'alerte
Les rôles suivants accordent des autorisations pour les règles d'alerte:
Titre Nom |
Description |
---|---|
roles/monitoring.alertPolicyViewer Lecteur Monitoring AlertPolicy |
Accorde un accès en lecture seule aux règles d'alerte. |
roles/monitoring.alertPolicyEditor Éditeur Monitoring AlertPolicy |
Accorde un accès en lecture/écriture aux règles d'alerte. |
Rôles associés au tableau de bord
Les rôles suivants n'accordent d'autorisations que pour les tableaux de bord :
Titre Nom |
Description |
---|---|
roles/monitoring.dashboardViewer Lecteur de configuration du tableau de bord Monitoring |
Accorde un accès en lecture seule aux configurations de tableaux de bord. |
roles/monitoring.dashboardEditor Éditeur de configuration du tableau de bord Monitoring |
Accorde un accès en lecture/écriture aux configurations de tableaux de bord. |
Rôles associés aux incidents
Les rôles suivants n'accordent des autorisations que pour les incidents:
Titre Nom |
Description |
---|---|
roles/monitoring.cloudConsoleIncidentViewer Lecteur d'incidents Monitoring dans la console Cloud |
Permet d'afficher les incidents à l'aide de la console Google Cloud. |
roles/monitoring.cloudConsoleIncidentEditor Éditeur d'incidents Monitoring (via la console Cloud) |
Permet d'afficher, de confirmer et de fermer les incidents à l'aide de la console Google Cloud. |
Pour savoir comment résoudre les erreurs d'autorisation IAM des incidents, consultez Impossible d'afficher les détails de l'incident en raison d'une erreur d'autorisation.
Rôles de canal de notification
Les rôles suivants n'accordent que des autorisations NotificationChannel (canaux de notification) :
Titre Nom |
Description |
---|---|
roles/monitoring.notificationChannelViewer Lecteur Monitoring NotificationChannel |
Accorde un accès en lecture seule aux canaux de notification. |
roles/monitoring.notificationChannelEditor Éditeur Monitoring NotificationChannel |
Accorde un accès en lecture/écriture aux canaux de notification. |
Répéter les rôles de notification
Les rôles suivants accordent des autorisations de mise en attente des notifications:
Titre Nom |
Description |
---|---|
roles/monitoring.snoozeViewer Lecteur de mises en attente Monitoring |
Accorde un accès en lecture seule aux mises en attente. |
roles/monitoring.snoozeEditor Éditeur de mises en attente Monitoring |
Accorde un accès en lecture/écriture aux mises en pause. |
Rôles de surveillance des services
Les rôles suivants accordent des autorisations pour la gestion des services :
Titre Nom |
Description |
---|---|
roles/monitoring.servicesViewer Lecteur pour les services de surveillance |
Accorde un accès en lecture seule aux services. |
roles/monitoring.servicesEditor Collaborateur pour les services de surveillance |
Accorde un accès en lecture/écriture aux services. |
Pour en savoir plus sur la surveillance des services, consultez la page Surveillance SLO.
Rôles de configuration des tests de disponibilité
Les rôles suivants n'accordent d'autorisations que pour les configurations des tests de disponibilité :
Titre Nom |
Description |
---|---|
roles/monitoring.uptimeCheckConfigViewer Lecteur de configuration des tests de disponibilité Monitoring |
Accorde un accès en lecture seule aux configurations des tests de disponibilité. |
roles/monitoring.uptimeCheckConfigEditor Éditeur de configuration des tests de disponibilité Monitoring |
Accorde un accès en lecture/écriture aux configurations des tests de disponibilité. |
Rôles de configuration du champ d'application des métriques
Les rôles suivants accordent des autorisations générales pour les champs d'application de métriques:
Titre Nom |
Description |
---|---|
roles/monitoring.metricsScopesViewer Lecteur des champs d'application des métriques de surveillance |
Accorde un accès en lecture seule aux champs d'application des métriques. |
roles/monitoring.metricsScopesAdmin Administrateur des champs d'application des métriques de surveillance |
Accorde un accès en lecture/écriture aux champs d'application des métriques. |
Autorisations pour les rôles prédéfinis
Cette section répertorie les autorisations attribuées aux rôles prédéfinis associés à Monitoring.
Pour en savoir plus sur les rôles prédéfinis, consultez IAM: Rôles et autorisations Si vous avez besoin d'aide pour choisir les rôles prédéfinis les plus appropriés, consultez la page Choisir des rôles prédéfinis.
Autorisations pour les rôles Monitoring
Role | Permissions |
---|---|
Monitoring Admin( Provides full access to Cloud Monitoring. Lowest-level resources where you can grant this role:
|
|
Monitoring AlertPolicy Editor( Read/write access to alerting policies. |
|
Monitoring AlertPolicy Viewer( Read-only access to alerting policies. |
|
Monitoring Cloud Console Incident Editor Beta( Read/write access to incidents from Cloud Console. |
|
Monitoring Cloud Console Incident Viewer Beta( Read access to incidents from Cloud Console. |
|
Monitoring Dashboard Configuration Editor( Read/write access to dashboard configurations. |
|
Monitoring Dashboard Configuration Viewer( Read-only access to dashboard configurations. |
|
Monitoring Editor( Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Monitoring Metric Writer( Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role:
|
|
Monitoring Metrics Scopes Admin Beta( Access to add and remove monitored projects from metrics scopes. |
|
Monitoring Metrics Scopes Viewer Beta( Read-only access to metrics scopes and their monitored projects. |
|
Monitoring NotificationChannel Editor Beta( Read/write access to notification channels. |
|
Monitoring NotificationChannel Viewer Beta( Read-only access to notification channels. |
|
Monitoring Services Editor( Read/write access to services. |
|
Monitoring Services Viewer( Read-only access to services. |
|
Monitoring Snooze Editor(
|
|
Monitoring Snooze Viewer(
|
|
Monitoring Uptime Check Configuration Editor Beta( Read/write access to uptime check configurations. |
|
Monitoring Uptime Check Configuration Viewer Beta( Read-only access to uptime check configurations. |
|
Monitoring Viewer( Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Autorisations pour les rôles de surveillance de la configuration des opérations
Role | Permissions |
---|---|
Ops Config Monitoring Resource Metadata Viewer Beta( Read-only access to resource metadata. |
|
Ops Config Monitoring Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata. |
|
Autorisations pour les rôles Stackdriver
Role | Permissions |
---|---|
Stackdriver Accounts Editor( Read/write access to manage Stackdriver account structure. |
|
Stackdriver Accounts Viewer( Read-only access to get and list information about Stackdriver account structure. |
|
Stackdriver Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata. |
|
Autorisations Monitoring incluses dans les rôles Google Cloud
Les rôles Google Cloud incluent les autorisations suivantes :
Titre Nom |
Autorisations associées |
---|---|
roles/viewer Lecteur |
Autorisations Monitoring identiques aux autorisations de roles/monitoring.viewer |
roles/editor Éditeur |
Autorisations Monitoring identiques à celles de
Ce rôle n'accorde pas l'autorisation de modifier un champ d'application des métriques.
Pour modifier un champ d'application des métriques lorsque vous utilisez l'API, votre rôle doit inclure le paramètre
autorisation |
roles/owner Propriétaire |
Les autorisations Monitoring sont identiques à celles de roles/monitoring.admin .
|
Rôles personnalisés
Vous pouvez créer un rôle personnalisé pour attribuer à un compte principal
plus d'autorisations que celles accordées avec des rôles prédéfinis.
Par exemple, si vous configurez Assured Workloads
car vous avez la résidence des données
Les exigences du niveau d'impact 4 (IL4)
vous ne devez
pas utiliser
de tests de disponibilité, car il existe
aucune garantie que les données des tests de
disponibilité sont conservées dans un emplacement géographique spécifique.
Pour empêcher l'utilisation de tests de disponibilité, créez un rôle qui n'inclut pas
les autorisations avec le préfixe monitoring.uptimeCheckConfigs
.
Pour créer un rôle personnalisé avec des autorisations Monitoring, procédez comme suit :
Pour un rôle n'accordant des autorisations que pour l'API Monitoring, choisissez parmi les autorisations Autorisations et rôles prédéfinis.
Pour un rôle accordant des autorisations pour Monitoring dans console Google Cloud, choisissez l'un des groupes d'autorisations Rôles de surveillance.
Pour accorder la possibilité d'écrire des données de surveillance, incluent les autorisations rôle
roles/monitoring.metricWriter
dans Autorisations et rôles prédéfinis.
Pour plus d'informations sur les rôles personnalisés, consultez la page Comprendre les rôles personnalisés d'IAM.
Champs d'application d'accès à Compute Engine
Les champs d'application d'accès représentent l'ancienne méthode de spécification des autorisations associées aux instances de VM Compute Engine. Les champs d'application d'accès suivants s'appliquent à Monitoring :
Champ d'application d'accès | Autorisations attribuées |
---|---|
https://www.googleapis.com/auth/monitoring.read | Les mêmes autorisations que le rôle roles/monitoring.viewer . |
https://www.googleapis.com/auth/monitoring.write | Les mêmes autorisations que le rôle roles/monitoring.metricWriter . |
https://www.googleapis.com/auth/monitoring | Accès complet à Monitoring |
https://www.googleapis.com/auth/cloud-platform | Accès complet à toutes les API Google Cloud activées |
Pour plus de détails, consultez la section sur les champs d'application d'accès.
Bonnes pratiques. Il est recommandé de donner à vos instances de VM
le niveau d'accès le plus élevé (cloud-platform
), puis d'utiliser IAM
pour restreindre l'accès à des API et opérations spécifiques. Pour plus de détails, consultez la section relative aux autorisations de compte de service.