Zugriff mit IAM steuern

Wenn Sie Monitoring verwenden möchten, benötigen Sie die entsprechenden Berechtigungen für die Identitäts- und Zugriffsverwaltung (IAM). Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Um die Methode oder eine Konsolenfunktion zu verwenden, die auf der Methode basiert, benötigen Sie die Berechtigung zur Verwendung der entsprechenden Methode. Berechtigungen werden Nutzern nicht direkt, sondern indirekt über Rollen gewährt, in denen mehrere Berechtigungen zusammengefasst sind, um die Verwaltung zu vereinfachen:

Rollen für gängige Kombinationen von Berechtigungen sind für Sie vordefiniert. Sie können aber auch eigene Kombinationen von Berechtigungen erstellen. Dazu erstellen Sie benutzerdefinierte IAM-Rollen.

Best Practice

Wir empfehlen, Google-Gruppen zu erstellen, um den Zugriff auf Google Cloud-Projekte zu verwalten:

VPC Service Controls

Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.

VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.

Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.

Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.

Zugriff auf Cloud Monitoring gewähren

IAM-Rollen für Hauptkonten können Sie auf der Seite „Identity and Access Management“ in der Google Cloud Console oder über die Google Cloud CLI verwalten. Cloud Monitoring bietet jedoch eine vereinfachte Oberfläche, mit der Sie Ihre Monitoring-spezifischen Rollen, Rollen auf Projektebene und die allgemeinen Rollen für Cloud Logging und Cloud Trace verwalten können.

So gewähren Sie Hauptkonten Zugriff auf Monitoring, Cloud Logging oder Cloud Trace oder eine Rolle auf Projektebene:

Console

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Monitoring und dann  Berechtigungen aus:

    Zur Seite Berechtigungen

    Auf der Seite Berechtigungen werden nicht alle Hauptkonten angezeigt. Es werden nur die Hauptkonten aufgeführt, die eine Rolle auf Projektebene oder eine Rolle speziell für Monitoring, Logging oder Trace haben.

    Mit den Optionen auf dieser Seite können Sie alle Hauptkonten aufrufen, deren Rollen eine beliebige Monitoring-Berechtigung enthalten.

  2. Klicken Sie auf Zugriff erlauben.

  3. Klicken Sie auf Neue Hauptkonten und geben Sie den Nutzernamen für das Hauptkonto ein. Sie können mehrere Hauptkonten hinzufügen.

  4. Maximieren Sie Rolle auswählen, wählen Sie einen Wert aus dem Menü Nach Produkt oder Dienst aus und wählen Sie dann im Menü Rollen eine Rolle aus:

    Nach Produkt- oder Dienstleistungsauswahl Auswahl von Rollen Beschreibung
    Monitoring Monitoring-Betrachter Monitoring-Daten und -Konfigurationsinformationen ansehen. Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien aufrufen.
    Monitoring Monitoring-Editor Monitoring-Daten ansehen sowie Konfigurationen erstellen und bearbeiten Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien erstellen.
    Monitoring Monitoring-Administrator Monitoring-Daten ansehen, Konfigurationen erstellen und bearbeiten sowie den Messwertbereich ändern.
    Cloud Trace Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen.
    Cloud Trace Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole, Lese-/Schreibzugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen.
    Logging Loganzeige Lesezugriff auf Logs. Weitere Informationen finden Sie unter Logging-Rollen.
    Logging Logging-Administrator Vollständiger Zugriff auf alle Features von Cloud Logging. Weitere Informationen finden Sie unter Logging-Rollen.
    Projekt Betrachter Lesezugriff auf die meisten Google Cloud-Ressourcen.
    Projekt Bearbeiter Kann die meisten Google Cloud-Ressourcen ansehen, erstellen, aktualisieren und löschen.
    Projekt Inhaber Vollständiger Zugriff auf die meisten Google Cloud-Ressourcen.

  5. Optional: Um denselben Hauptkonten eine weitere Rolle zuzuweisen, klicken Sie auf Weitere Rolle hinzufügen und wiederholen Sie den vorherigen Schritt.

  6. Klicken Sie auf Speichern.

In den vorherigen Schritten wurde beschrieben, wie einem Hauptkonto bestimmte Rollen mithilfe von Monitoring-Seiten in der Google Cloud Console zugewiesen werden. Für diese Rollen unterstützt diese Seite auch Optionen zum Bearbeiten und Löschen:

  • Wenn Sie Rollen für ein Hauptkonto entfernen möchten, klicken Sie auf das Kästchen neben dem Hauptkonto und dann auf Zugriff entfernen.

  • Klicken Sie zum Bearbeiten der Rollen für ein Hauptkonto auf Bearbeiten. Nachdem Sie die Einstellungen aktualisiert haben, klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um die Rolle monitoring.viewer oder monitoring.editor zu erteilen.

Beispiel:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Mit dem Befehl gcloud projects get-iam-policy werden die zugewiesenen Rollen bestätigt:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Vordefinierte Rollen

In diesem Abschnitt wird eine Teilmenge von IAM-Rollen aufgeführt, die in Cloud Monitoring vordefiniert sind.

Monitoring-Rollen

Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:

Name
Titel		 Berechtigungen
roles/monitoring.viewer
Monitoring-Betrachter 		Gewährt Lesezugriff auf Monitoring in der Google Cloud Console und die Cloud Monitoring API.
roles/monitoring.editor
Monitoring-Bearbeiter 		Gewährt Lese-/Schreibzugriff auf Monitoring in der Google Cloud Console und die Cloud Monitoring API.
roles/monitoring.admin
Monitoring-Administrator 		Gewährt vollständigen Zugriff auf Monitoring in der Google Cloud Console und Lese-/Schreibzugriff auf die Cloud Monitoring API.

Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:

Name
Titel		 Beschreibung
roles/monitoring.metricWriter
Monitoring-Messwert-Autor

Diese Rolle ist für Dienstkonten und Agents.
Gewährt keinen Zugriff auf Monitoring in der Google Cloud Console.
Ermöglicht das Schreiben von Monitoringdaten in einen Messwertbereich.

Rollen für Benachrichtigungsrichtlinien

Die folgenden Rollen gewähren Berechtigungen für Benachrichtigungsrichtlinien:

Name
Titel		 Beschreibung
roles/monitoring.alertPolicyViewer
Betrachter von Monitoring-Benachrichtigungsrichtlinien		 Gewährt Lesezugriff auf Benachrichtigungsrichtlinien.
roles/monitoring.alertPolicyEditor
Bearbeiter von Monitoring-Benachrichtigungsrichtlinien		 Gewährt Lese-/Schreibzugriff auf Benachrichtigungsrichtlinien.

Dashboardrollen

Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:

Name
Titel		 Beschreibung
roles/monitoring.dashboardViewer
Betrachter von Monitoring-Dashboard-Konfigurationen		 Gewährt Lesezugriff auf Dashboardkonfigurationen.
roles/monitoring.dashboardEditor
Bearbeiter der Monitoring-Dashboard-Konfiguration		 Gewährt Lese-/Schreibzugriff auf Dashboard-Konfigurationen.

Vorfallrollen

Durch die folgenden Rollen werden Berechtigungen nur für Vorfälle gewährt:

Name
Titel		 Beschreibung
roles/monitoring.cloudConsoleIncidentViewer
Betrachter von Cloud Console-Vorfällen Monitoring		 Gewährt Zugriff zum Ansehen von Vorfällen über die Google Cloud Console.
roles/monitoring.cloudConsoleIncidentEditor
Bearbeiter von Vorfällen in der Cloud Console Monitoring		 Gewährt Zugriff zum Ansehen, Bestätigen und Schließen von Vorfällen über die Google Cloud Console.

Informationen zum Beheben von IAM-Berechtigungsfehlern beim Aufrufen von Vorfällen finden Sie unter Details zum Vorfall aufgrund eines Berechtigungsfehlers können nicht angezeigt werden.

Rollen für Benachrichtigungskanäle

Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:

Name
Titel		 Beschreibung
roles/monitoring.notificationChannelViewer
Betrachter von Monitoring-Benachrichtigungskanälen		 Gewährt Lesezugriff auf Benachrichtigungskanäle.
roles/monitoring.notificationChannelEditor
Bearbeiter von Monitoring-Benachrichtigungskanälen		 Gewährt Lese-/Schreibzugriff auf Benachrichtigungskanäle.

Benachrichtigungsrollen zurückstellen

Die folgenden Rollen gewähren Berechtigungen zum Zurückstellen von Benachrichtigungen:

Name
Titel		 Beschreibung
roles/monitoring.snoozeViewer
Betrachter für Schlummerfunktion in Monitoring		 Gewährt Lesezugriff auf Schlummerfunktionen.
roles/monitoring.snoozeEditor
Bearbeiter von Monitoring-Schlummerfunktionen		 Gewährt Lese-/Schreibzugriff auf Schlummerfunktionen.

Rollen für das Dienstmonitoring

Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:

Name
Titel		 Beschreibung
roles/monitoring.servicesViewer
Betrachter von Monitoring-Diensten		 Gewährt Lesezugriff auf Dienste.
roles/monitoring.servicesEditor
Bearbeiter von Monitoring-Diensten		 Gewährt Lese- und Schreibzugriff auf Dienste.

Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.

Konfigurationsrollen für Verfügbarkeitsdiagnosen

Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:

Name
Titel		 Beschreibung
roles/monitoring.uptimeCheckConfigViewer
Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen		 Gewährt Lesezugriff auf Verfügbarkeitsdiagnose-Konfigurationen.
roles/monitoring.uptimeCheckConfigEditor
Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen		 Gewährt Lese- und Schreibzugriff auf Verfügbarkeitsdiagnosen-Konfigurationen.

Konfigurationsrollen für Messwertbereiche

Durch die folgenden Rollen werden allgemeine Berechtigungen für Messwertbereiche gewährt:

Name
Titel		 Beschreibung
roles/monitoring.metricsScopesViewer
Betrachter von Monitoring-Messwertbereichen		 Gewährt Lesezugriff auf Messwertbereiche.
roles/monitoring.metricsScopesAdmin
Administrator von Monitoring-Messwertbereichen		 Gewährt Lese-/Schreibzugriff auf Messwertbereiche.

Berechtigungen für vordefinierte Rollen

In diesem Abschnitt werden die Berechtigungen aufgeführt, die vordefinierten Rollen für Monitoring zugewiesen sind.

Weitere Informationen zu vordefinierten Rollen finden Sie unter IAM: Rollen und Berechtigungen. Hilfe bei der Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.

Berechtigungen für Monitoring-Rollen

Role Permissions

(roles/monitoring.admin)

Provides the same access as the Monitoring Editor role (roles/monitoring.editor).

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.publicWidgets.create
  • monitoring.publicWidgets.delete
  • monitoring.publicWidgets.get
  • monitoring.publicWidgets.list
  • monitoring.publicWidgets.update
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.publicWidgets.*

  • monitoring.publicWidgets.create
  • monitoring.publicWidgets.delete
  • monitoring.publicWidgets.get
  • monitoring.publicWidgets.list
  • monitoring.publicWidgets.update

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.publicWidgets.get

monitoring.publicWidgets.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Berechtigungen für Ops Config Monitoring-Rollen

Role Permissions

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Berechtigungen für Stackdriver-Rollen

Role Permissions

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

In Google Cloud-Rollen enthaltene Monitoringberechtigungen

Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:

Name
Titel		 Berechtigungen
roles/viewer
Betrachter 		Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer.
roles/editor
Bearbeiter

Die Monitoring-Berechtigungen sind die gleichen wie die in roles/monitoring.editor, mit Ausnahme der Berechtigung stackdriver.projects.edit. Die Rolle roles/editor enthält nicht die Berechtigung stackdriver.projects.edit.

Diese Rolle gewährt keine Berechtigung zum Ändern eines Messwertbereichs. Zum Ändern eines Messwertbereichs bei Verwendung der API muss Ihre Rolle die Berechtigung monitoring.metricsScopes.link enthalten. Wenn Sie einen Messwertbereich in der Google Cloud Console ändern möchten, muss Ihre Rolle entweder die Berechtigung monitoring.metricsScopes.link enthalten oder Sie müssen die Rolle roles/monitoring.editor haben.
roles/owner
Inhaber 		Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin.

Benutzerdefinierte Rollen

Sie können eine benutzerdefinierte Rolle erstellen, wenn Sie einem Hauptkonto weniger Berechtigungen gewähren möchten als die, die mit vordefinierten Rollen gewährt wurden. Wenn Sie beispielsweise Assured Workloads einrichten, weil Sie Anforderungen an Datenstandort oder Impact Level 4 (IL4) haben, sollten Sie keine Verfügbarkeitsdiagnosen verwenden, da es keine Garantie dafür gibt, dass die Daten der Verfügbarkeitsdiagnose an einem bestimmten geografischen Standort gespeichert werden. Um die Verwendung von Verfügbarkeitsdiagnosen zu verhindern, erstellen Sie eine Rolle, die keine Berechtigungen mit dem Präfix monitoring.uptimeCheckConfigs enthält.

So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:

  • Wählen Sie für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, eine der Berechtigungen aus dem Abschnitt Berechtigungen und vordefinierte Rollen aus.

  • Wählen Sie für eine Rolle, die Berechtigungen für Monitoring in der Google Cloud Console gewährt, eine der Berechtigungsgruppen aus dem Abschnitt Monitoringrollen aus.

  • Wenn Sie die Berechtigung zum Schreiben von Monitoringdaten gewähren möchten, schließen Sie die Berechtigungen der Rolle roles/monitoring.metricWriter im Abschnitt Berechtigungen und vordefinierte Rollen ein.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.

Zugriffsbereiche für Compute Engine

Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:

Zugriffsbereich Gewährte Berechtigungen
https://www.googleapis.com/auth/monitoring.read Die gleichen Berechtigungen wie in roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write Die gleichen Berechtigungen wie in roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Vollzugriff auf Monitoring
https://www.googleapis.com/auth/cloud-platform Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs

Weitere Informationen finden Sie unter Zugriffsbereiche.

Best Practice: Es empfiehlt sich, Ihren VM-Instanzen den umfassendsten Zugriffsbereich (cloud-platform) zuzuweisen und dann mit IAM-Rollen den Zugriff auf bestimmte APIs und Vorgänge einzuschränken. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.