Zugriff mit IAM steuern

Für die Verwendung von Monitoring benötigen Sie die entsprechenden Berechtigungen zur Identitäts- und Zugriffsverwaltung (IAM) Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Um die Methode oder eine Konsolenfunktion zu verwenden, die auf der Methode basiert, müssen Sie Sie sind berechtigt, die entsprechende Methode zu verwenden. Berechtigungen werden Nutzern nicht direkt gewährt. werden Berechtigungen gewährt, indirekt über Rollen, die mehrere Berechtigungen umfassen, um deren Verwaltung zu erleichtern. einfacher:

Rollen für gängige Berechtigungskombinationen sind für Sie vordefiniert. Sie können jedoch können Sie auch eigene Kombinationen von Berechtigungen erstellen, Erstellen von benutzerdefinierten IAM-Rollen

Best Practice

Wir empfehlen Ihnen, Google-Gruppen zu erstellen, um den Zugriff auf Google Cloud-Projekte:

VPC Service Controls

Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.

VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.

Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.

Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.

Zugriff auf Cloud Monitoring gewähren

Zum Verwalten von IAM-Rollen für Hauptkonten können Sie die Seite „Identity and Access Management“ in der Google Cloud Console oder der Google Cloud CLI Cloud Monitoring bietet jedoch eine vereinfachte Benutzeroberfläche, Monitoring-spezifische Rollen, Rollen auf Projektebene, und die gängigen Rollen für Cloud Logging und Cloud Trace.

Um Hauptkonten Zugriff auf Monitoring, Cloud Logging, oder Cloud Trace ausführen oder eine Rolle auf Projektebene zuweisen, gehen Sie so vor:

Console

  1. Rufen Sie in der Google Cloud Console die Seite  Berechtigungen auf:

    Zu Berechtigungen

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

    Auf der Seite Berechtigungen werden nicht alle Hauptkonten angezeigt. Es werden nur die Hauptkonten, die eine Rolle auf Projektebene haben, oder eine Rolle, für Monitoring, Logging oder Nachverfolgen.

    Mit den Optionen auf dieser Seite können Sie alle Hauptkonten aufrufen, deren Rollen Monitoring-Berechtigung.

  2. Klicken Sie auf Zugriff erlauben.

  3. Klicken Sie auf Neue Hauptkonten und geben Sie den Nutzernamen für das Hauptkonto ein. Sie können mehrere Hauptkonten hinzufügen.

  4. Maximieren Rolle auswählen und wählen Sie einen Wert aus der Im Menü Nach Produkt oder Dienst und wählen Sie dann aus dem Menü Rollen eine Rolle aus. Menü:

    Auswahl für Produkt oder Dienstleistung Rollenauswahl Beschreibung
    Monitoring Monitoring-Betrachter Monitoring-Daten und Konfigurationsinformationen ansehen. Hauptkonten mit dieser Rolle können z. B. Folgendes ansehen: benutzerdefinierten Dashboards und Benachrichtigungsrichtlinien.
    Monitoring Monitoring-Editor Monitoring-Daten ansehen und Konfigurationen erstellen und bearbeiten. Beispiel: Hauptkonten mit dieser Rolle können benutzerdefinierten Dashboards und Benachrichtigungsrichtlinien.
    Monitoring Monitoring-Administrator Monitoring-Daten ansehen, Konfigurationen erstellen und bearbeiten Messwertbereich.
    Cloud Trace Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen
    Cloud Trace Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole, Lese-/Schreibzugriff auf Traces, und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen
    Logging Loganzeige Lesezugriff auf Logs. Weitere Informationen finden Sie unter Logging-Rollen:
    Logging Logging-Administrator Vollständiger Zugriff auf alle Features von Cloud Logging. Für finden Sie unter Logging-Rollen:
    Projekt Betrachter Lesezugriff auf die meisten Google Cloud-Ressourcen.
    Projekt Bearbeiter Kann die meisten Google Cloud-Ressourcen ansehen, erstellen, aktualisieren und löschen.
    Projekt Inhaber Vollständiger Zugriff auf die meisten Google Cloud-Ressourcen.

  5. Optional: Wenn Sie denselben Hauptkonten eine weitere Rolle zuweisen möchten, klicken Sie auf Fügen Sie eine weitere Rolle hinzu und wiederholen Sie den vorherigen Schritt.

  6. Klicken Sie auf Speichern.

In den vorherigen Schritten wurde beschrieben, wie einem Hauptkonto bestimmte Rollen mithilfe von Monitoringseiten in der Google Cloud Console Für diese Rollen können Sie auf dieser Seite auch Bearbeitungs- und Löschoptionen nutzen:

  • So entfernen Sie Rollen für ein Hauptkonto: klicken Sie auf das Kästchen neben dem Hauptkonto und dann auf Zugriffsrechte entfernen

  • So bearbeiten Sie die Rollen für ein Hauptkonto: Klicken Sie auf Bearbeiten. Nachdem Sie die Einstellungen aktualisiert haben, Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um die Rolle monitoring.viewer oder monitoring.editor zu erteilen.

Beispiel:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Mit dem Befehl gcloud projects get-iam-policy werden die zugewiesenen Rollen bestätigt:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Vordefinierte Rollen

In diesem Abschnitt wird eine Teilmenge von IAM-Rollen aufgeführt, die durch Cloud Monitoring

Monitoring-Rollen

Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:

Name
Titel		 Berechtigungen
roles/monitoring.viewer
Monitoring-Betrachter		 Gewährt Lesezugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API.
roles/monitoring.editor
Monitoring-Bearbeiter		 Gewährt Lese-/Schreibzugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API.
roles/monitoring.admin
Monitoring-Administrator		 Gewährt vollständigen Zugriff auf Monitoring in der Google Cloud Console und Lese-/Schreibzugriff auf die Cloud Monitoring API.

Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:

Name
Titel		 Beschreibung
roles/monitoring.metricWriter
Monitoring-Messwert-Autor

Diese Rolle ist für Dienstkonten und Agents vorgesehen.
Gewährt keinen Zugriff auf Monitoring in der Google Cloud Console.
Ermöglicht das Schreiben von Monitoringdaten in einen Messwertbereich.

Rollen für Benachrichtigungsrichtlinien

Durch die folgenden Rollen werden Berechtigungen für Benachrichtigungsrichtlinien gewährt:

Name
Titel		 Beschreibung
roles/monitoring.alertPolicyViewer
Betrachter von Monitoring-Benachrichtigungsrichtlinien		 Gewährt Lesezugriff auf Benachrichtigungsrichtlinien.
roles/monitoring.alertPolicyEditor
Bearbeiter von Monitoring-Benachrichtigungsrichtlinien		 Gewährt Lese-/Schreibzugriff auf Benachrichtigungsrichtlinien.

Dashboardrollen

Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:

Name
Titel		 Beschreibung
roles/monitoring.dashboardViewer
Betrachter von Monitoring-Dashboard-Konfigurationen		 Gewährt Lesezugriff auf Dashboardkonfigurationen.
roles/monitoring.dashboardEditor
Bearbeiter der Monitoring-Dashboard-Konfiguration		 Gewährt Lese-/Schreibzugriff auf Dashboardkonfigurationen.

Vorfallrollen

Durch die folgenden Rollen werden Berechtigungen nur für Vorfälle gewährt:

Name
Titel		 Beschreibung
roles/monitoring.cloudConsoleIncidentViewer
Betrachter von Monitoring Cloud Console-Vorfällen		 Gewährt Zugriff zum Ansehen von Vorfällen über die Google Cloud Console.
roles/monitoring.cloudConsoleIncidentEditor
Bearbeiter von Monitoring Cloud Console-Vorfällen		 Gewährt Zugriff zum Ansehen, Bestätigen und Schließen von Vorfällen über die Google Cloud Console.

Informationen zum Beheben von IAM-Berechtigungsfehlern beim Vorfälle ansehen, siehe Vorfalldetails können aufgrund eines Berechtigungsfehlers nicht aufgerufen werden.

Rollen für Benachrichtigungskanäle

Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:

Name
Titel		 Beschreibung
roles/monitoring.notificationChannelViewer
Betrachter von Monitoring-Benachrichtigungskanälen		 Gewährt Lesezugriff auf Benachrichtigungskanäle.
roles/monitoring.notificationChannelEditor
Bearbeiter von Monitoring-Benachrichtigungskanälen		 Gewährt Lese-/Schreibzugriff auf Benachrichtigungskanäle.

Benachrichtigungsrollen deaktivieren

Die folgenden Rollen gewähren Berechtigungen zum Zurückstellen von Benachrichtigungen:

Name
Titel		 Beschreibung
roles/monitoring.snoozeViewer
Überwachung der Schlummerfunktion		 Gewährt Lesezugriff auf Schlummerfunktionen.
roles/monitoring.snoozeEditor
Bearbeiter der Schlummerfunktion überwachen		 Gewährt Lese- und Schreibzugriff auf Schlummerfunktionen.

Dienst-Monitoring-Rollen

Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:

Name
Titel		 Beschreibung
roles/monitoring.servicesViewer
Betrachter von Monitoring-Diensten		 Gewährt Lesezugriff auf Dienste.
roles/monitoring.servicesEditor
Bearbeiter von Monitoring-Diensten		 Gewährt Lese- und Schreibzugriff auf Dienste.

Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.

Verfügbarkeitsdiagnose-Konfigurationsrollen

Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:

Name
Titel		 Beschreibung
roles/monitoring.uptimeCheckConfigViewer
Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen		 Gewährt Lesezugriff auf Verfügbarkeitsdiagnosen-Konfigurationen.
roles/monitoring.uptimeCheckConfigEditor
Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen		 Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosen-Konfigurationen.

Konfigurationsrollen für Messwertbereiche

Durch die folgenden Rollen werden allgemeine Berechtigungen für Messwertbereiche:

Name
Titel		 Beschreibung
roles/monitoring.metricsScopesViewer
Betrachter von Monitoring-Messwertbereichen		 Gewährt Lesezugriff auf Messwertbereiche.
roles/monitoring.metricsScopesAdmin
Administrator von Monitoring-Messwertbereichen		 Gewährt Lese-/Schreibzugriff auf Messwertbereiche.

Berechtigungen für vordefinierte Rollen

In diesem Abschnitt werden die Berechtigungen aufgelistet, die vordefinierten Rollen mit Monitoring.

Weitere Informationen zu vordefinierten Rollen finden Sie unter IAM: Rollen und Berechtigungen Hilfe bei der Auswahl der am besten geeigneten vordefinierten Rollen Weitere Informationen finden Sie unter Vordefinierte Rollen auswählen.

Berechtigungen für Monitoring-Rollen

Role Permissions

(roles/monitoring.admin)

Provides the same access as the Monitoring Editor role (roles/monitoring.editor).

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.publicWidgets.create
  • monitoring.publicWidgets.delete
  • monitoring.publicWidgets.get
  • monitoring.publicWidgets.list
  • monitoring.publicWidgets.update
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.publicWidgets.*

  • monitoring.publicWidgets.create
  • monitoring.publicWidgets.delete
  • monitoring.publicWidgets.get
  • monitoring.publicWidgets.list
  • monitoring.publicWidgets.update

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.publicWidgets.get

monitoring.publicWidgets.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Berechtigungen für Ops Config Monitoring-Rollen

Role Permissions

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Berechtigungen für Stackdriver-Rollen

Role Permissions

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Monitoringberechtigungen in Google Cloud-Rollen

Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:

Name
Titel		 Berechtigungen
roles/viewer
Betrachter 		Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer.
roles/editor
Bearbeiter

Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.editor mit dem mit Ausnahme der Berechtigung stackdriver.projects.edit. Die Rolle roles/editor enthält nicht die Berechtigung „stackdriver.projects.edit“.

Diese Rolle gewährt keine Berechtigung zum Ändern eines Messwertbereichs. Wenn Sie bei Verwendung der API einen Messwertbereich ändern möchten, muss Ihre Rolle die folgenden Elemente enthalten: Berechtigung „monitoring.metricsScopes.link“. Wenn Sie einen Messwertbereich in der Google Cloud Console ändern möchten, muss Ihre Rolle muss entweder die Berechtigung monitoring.metricsScopes.link oder Sie müssen die Rolle haben roles/monitoring.editor.
roles/owner
Inhaber 		Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin

Benutzerdefinierte Rollen

Sie können eine benutzerdefinierte Rolle erstellen, wenn Sie einem Hauptkonto ein weniger Berechtigungen als mit vordefinierten Rollen. Beispiel: Sie richten Assured Workloads ein. weil Sie einen Datenstandort haben, Anforderungen an Impact Level 4 (IL4) sollten Sie nicht Verfügbarkeitsdiagnosen, da es keine Garantie dafür, dass die Verfügbarkeitsdiagnosen-Daten an einem bestimmten geografischen Standort gespeichert werden. Um die Verwendung von Verfügbarkeitsdiagnosen zu verhindern, erstellen Sie eine Rolle, die keine Berechtigungen mit dem Präfix monitoring.uptimeCheckConfigs.

So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:

Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.

Zugriffsbereiche für Compute Engine

Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:

Zugriffsbereich Gewährte Berechtigungen
https://www.googleapis.com/auth/monitoring.read Die gleichen Berechtigungen wie in roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write Die gleichen Berechtigungen wie in roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Vollzugriff auf Monitoring
https://www.googleapis.com/auth/cloud-platform Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs

Weitere Informationen finden Sie unter Zugriffsbereiche.

Best Practice: Es empfiehlt sich, Ihren VM-Instanzen mächtigsten Zugriffsbereich (cloud-platform) und verwenden Sie dann IAM können Sie den Zugriff auf bestimmte APIs und Vorgänge einschränken. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.