Zugriff mit IAM steuern

Für die Verwendung von Monitoring benötigen Sie die entsprechenden Berechtigungen zur Identitäts- und Zugriffsverwaltung (IAM) Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Wenn Sie die Methode oder eine Console-Funktion verwenden möchten, die auf der Methode basiert, benötigen Sie die Berechtigung zur Verwendung der entsprechenden Methode. Berechtigungen werden Nutzern nicht direkt gewährt, sondern indirekt über Rollen. In Rollen sind mehrere Berechtigungen zusammengefasst, was die Verwaltung vereinfacht:

Rollen für gängige Berechtigungskombinationen sind für Sie vordefiniert. Sie können jedoch können Sie auch eigene Kombinationen von Berechtigungen erstellen, Erstellen von benutzerdefinierten IAM-Rollen

Best Practice

Wir empfehlen Ihnen, Google-Gruppen zu erstellen, um den Zugriff auf Google Cloud-Projekte:

VPC Service Controls

Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.

VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.

Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.

Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.

Zugriff auf Cloud Monitoring gewähren

Sie können IAM-Rollen für Principals über die Seite „Identität und Zugriffsverwaltung“ in der Google Cloud Console oder über die Google Cloud CLI verwalten. Cloud Monitoring bietet jedoch eine vereinfachte Benutzeroberfläche, mit der Sie Monitoring-spezifische Rollen, Rollen auf Projektebene und die gängigen Rollen für Cloud Logging und Cloud Trace verwalten können.

Um Hauptkonten Zugriff auf Monitoring, Cloud Logging, oder Cloud Trace ausführen oder eine Rolle auf Projektebene zuweisen, gehen Sie so vor:

Console

  1. Rufen Sie in der Google Cloud Console die Seite  Berechtigungen auf:

    Gehen Sie zu Berechtigungen.

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

    Auf der Seite Berechtigungen werden nicht alle Hauptkonten angezeigt. Es werden nur die Hauptkonten, die eine Rolle auf Projektebene haben, oder eine Rolle, für Monitoring, Logging oder Nachverfolgen.

    Mit den Optionen auf dieser Seite können Sie alle Hauptkonten aufrufen, deren Rollen Monitoring-Berechtigung.

  2. Klicken Sie auf Zugriff erlauben.

  3. Klicken Sie auf Neue Hauptkonten und geben Sie den Nutzernamen für das Hauptkonto ein. Sie können mehrere Hauptkonten hinzufügen.

  4. Maximieren Sie  Rolle auswählen, wählen Sie einen Wert aus dem Menü Nach Produkt oder Dienst und dann eine Rolle aus dem Menü Rollen aus:

    Auswahl für Produkt oder Dienstleistung Auswahl Rollen Beschreibung
    Monitoring Monitoring-Betrachter Monitoring-Daten und Konfigurationsinformationen ansehen. Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien aufrufen.
    Monitoring Monitoring-Editor Monitoring-Daten ansehen und Konfigurationen erstellen und bearbeiten. So können sie beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien erstellen.
    Monitoring Monitoring-Administrator Sie können Monitoring-Daten aufrufen, Konfigurationen erstellen und bearbeiten sowie den Messwertumfang ändern.
    Cloud Trace Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen
    Cloud Trace Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole, Lese-/Schreibzugriff auf Traces, und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen.
    Logging Loganzeige Zugriff auf Protokolle Weitere Informationen finden Sie unter Logging-Rollen:
    Logging Logging-Administrator Vollständiger Zugriff auf alle Features von Cloud Logging. Weitere Informationen finden Sie unter Rollen für die Protokollierung.
    Projekt Betrachter Lesezugriff auf die meisten Google Cloud-Ressourcen.
    Projekt Bearbeiter Kann die meisten Google Cloud-Ressourcen ansehen, erstellen, aktualisieren und löschen.
    Projekt Inhaber Vollständiger Zugriff auf die meisten Google Cloud-Ressourcen.

  5. Optional: Wenn Sie denselben Hauptkonten eine weitere Rolle zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und wiederholen Sie den vorherigen Schritt.

  6. Klicken Sie auf Speichern.

In den vorherigen Schritten wurde beschrieben, wie einem Hauptkonto bestimmte Rollen mithilfe von Monitoringseiten in der Google Cloud Console Für diese Rollen können Sie auf dieser Seite auch Bearbeitungs- und Löschoptionen nutzen:

  • So entfernen Sie Rollen für ein Hauptkonto: klicken Sie auf das Kästchen neben dem Hauptkonto und dann auf Zugriffsrechte entfernen

  • So bearbeiten Sie die Rollen für ein Hauptkonto: Klicken Sie auf Bearbeiten. Nachdem Sie die Einstellungen aktualisiert haben, Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um die Rolle monitoring.viewer oder monitoring.editor zu erteilen.

Beispiel:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Mit dem Befehl gcloud projects get-iam-policy werden die zugewiesenen Rollen bestätigt:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Vordefinierte Rollen

In diesem Abschnitt wird eine Teilmenge der IAM-Rollen aufgeführt, die von Cloud Monitoring vordefiniert sind.

Monitoring-Rollen

Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:

Name
Titel		 Berechtigungen
roles/monitoring.viewer
Monitoring-Betrachter		 Ermöglicht Lesezugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API.
roles/monitoring.editor
Monitoring-Bearbeiter		 Ermöglicht Lese- und Schreibzugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API.
roles/monitoring.admin
Monitoring-Administrator		 Gewährt vollständigen Zugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API.

Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:

Name
Titel		 Beschreibung
roles/monitoring.metricWriter
Monitoring-Messwert-Autor

Diese Rolle ist für Dienstkonten und Agents vorgesehen.
Ermöglicht keinen Zugriff auf Monitoring in der Google Cloud Console.
Ermöglicht das Schreiben von Monitoring-Daten in einem Messwertbereich.

Rollen für Benachrichtigungsrichtlinien

Durch die folgenden Rollen werden Berechtigungen für Benachrichtigungsrichtlinien gewährt:

Name
Titel		 Beschreibung
roles/monitoring.alertPolicyViewer
Betrachter von Monitoring-Benachrichtigungsrichtlinien		 Gewährt Lesezugriff auf Benachrichtigungsrichtlinien.
roles/monitoring.alertPolicyEditor
Bearbeiter von Monitoring-Benachrichtigungsrichtlinien		 Gewährt Lese- und Schreibzugriff auf Benachrichtigungsrichtlinien.

Dashboardrollen

Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:

Name
Titel		 Beschreibung
roles/monitoring.dashboardViewer
Betrachter von Monitoring-Dashboard-Konfigurationen		 Gewährt Lesezugriff auf Dashboard-Konfigurationen.
roles/monitoring.dashboardEditor
Bearbeiter der Monitoring-Dashboard-Konfiguration		 Gewährt Lese-/Schreibzugriff auf Dashboard-Konfigurationen.

Vorfallrollen

Durch die folgenden Rollen werden Berechtigungen nur für Vorfälle gewährt:

Name
Titel		 Beschreibung
roles/monitoring.cloudConsoleIncidentViewer
Betrachter von Monitoring Cloud Console-Vorfällen		 Gewährt Zugriff zum Ansehen von Vorfällen über die Google Cloud Console.
roles/monitoring.cloudConsoleIncidentEditor
Monitoring Cloud Console Incident Editor		 Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen über die Google Cloud Console.

Informationen zum Beheben von IAM-Berechtigungsfehlern beim Vorfälle ansehen, siehe Vorfalldetails können aufgrund eines Berechtigungsfehlers nicht aufgerufen werden.

Rollen für Benachrichtigungskanäle

Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:

Name
Titel		 Beschreibung
roles/monitoring.notificationChannelViewer
Betrachter von Monitoring-Benachrichtigungskanälen		 Gewährt Lesezugriff auf Benachrichtigungskanäle.
roles/monitoring.notificationChannelEditor
Bearbeiter von Monitoring-Benachrichtigungskanälen		 Gewährt Lese-/Schreibzugriff auf Benachrichtigungskanäle.

Benachrichtigungsrollen deaktivieren

Durch die folgenden Rollen werden Berechtigungen zum Pausieren von Benachrichtigungen gewährt:

Name
Titel		 Beschreibung
roles/monitoring.snoozeViewer
Monitoring Snooze Viewer		 Gewährt Lesezugriff auf Schlummerfunktionen.
roles/monitoring.snoozeEditor
Monitoring Snooze Editor		 Gewährt Lese-/Schreibzugriff auf Schlummerfunktionen.

Rollen für die Dienstüberwachung

Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:

Name
Titel		 Beschreibung
roles/monitoring.servicesViewer
Betrachter von Monitoring-Diensten		 Gewährt Lesezugriff auf Dienste.
roles/monitoring.servicesEditor
Bearbeiter von Monitoring-Diensten		 Gewährt Lese- und Schreibzugriff auf Dienste.

Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.

Verfügbarkeitsdiagnose-Konfigurationsrollen

Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:

Name
Titel		 Beschreibung
roles/monitoring.uptimeCheckConfigViewer
Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen		 Gewährt Lesezugriff auf Verfügbarkeitsdiagnosen-Konfigurationen.
roles/monitoring.uptimeCheckConfigEditor
Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen		 Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosekonfigurationen.

Konfigurationsrollen für Messwertbereiche

Durch die folgenden Rollen werden allgemeine Berechtigungen für Messwertbereiche:

Name
Titel		 Beschreibung
roles/monitoring.metricsScopesViewer
Betrachter von Monitoring-Messwertbereichen		 Gewährt Lesezugriff auf Messwertbereiche.
roles/monitoring.metricsScopesAdmin
Administrator von Monitoring-Messwertbereichen		 Gewährt Lese-/Schreibzugriff auf Messwertbereiche.

Berechtigungen für vordefinierte Rollen

In diesem Abschnitt sind die Berechtigungen aufgeführt, die vordefinierten Rollen zugewiesen sind, die mit Monitoring verknüpft sind.

Weitere Informationen zu vordefinierten Rollen finden Sie unter IAM: Rollen und Berechtigungen. Informationen zur Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.

Berechtigungen für Monitoring-Rollen

Role Permissions

(roles/monitoring.admin)

Provides the same access as the Monitoring Editor role (roles/monitoring.editor).

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Berechtigungen für Ops Config Monitoring-Rollen

Role Permissions

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Berechtigungen für Stackdriver-Rollen

Role Permissions

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Monitoring-Berechtigungen in Google Cloud-Rollen

Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:

Name
Titel		 Berechtigungen
roles/viewer
Betrachter 		Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer.
roles/editor
Bearbeiter

Die Monitoring-Berechtigungen sind mit Ausnahme der Berechtigung stackdriver.projects.edit dieselben wie in roles/monitoring.editor. Die Rolle roles/editor enthält nicht die Berechtigung stackdriver.projects.edit.

Diese Rolle gewährt keine Berechtigung zum Ändern des Gültigkeitsbereichs von Messwerten. Wenn Sie bei der Verwendung der API den Gültigkeitsbereich von Messwerten ändern möchten, muss Ihre Rolle die Berechtigung monitoring.metricsScopes.link enthalten. Wenn Sie einen Messwertbereich in der Google Cloud Console ändern möchten, muss Ihre Rolle muss entweder die Berechtigung monitoring.metricsScopes.link oder Sie müssen die Rolle haben roles/monitoring.editor.
roles/owner
Inhaber 		Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin.

Benutzerdefinierte Rollen

Sie können eine benutzerdefinierte Rolle erstellen, wenn Sie einem Hauptkonto eine eingeschränktere Berechtigung gewähren möchten als die, die mit vordefinierten Rollen gewährt werden. Beispiel: Sie richten Assured Workloads ein. weil Sie eine Datenresidenz oder Anforderungen an Impact Level 4 (IL4) sollten Sie nicht Verfügbarkeitsdiagnosen, da es keine Garantie dafür, dass die Verfügbarkeitsdiagnosen-Daten an einem bestimmten geografischen Standort gespeichert werden. Wenn Sie die Verwendung von Verfügbarkeitsdiagnosen verhindern möchten, erstellen Sie eine Rolle, die keine Berechtigungen mit dem Präfix monitoring.uptimeCheckConfigs enthält.

So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:

  • Wählen Sie für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, eine der Berechtigungen aus dem Abschnitt Berechtigungen und vordefinierte Rollen aus.

  • Für eine Rolle, die Berechtigungen für Monitoring in der Google Cloud Console, wählen Sie in der Monitoring-Rollen.

  • Beziehen Sie für eine Rolle, mit der Monitoring-Daten geschrieben werden können, die Berechtigungen der Rolle roles/monitoring.metricWriter aus dem Abschnitt Berechtigungen und vordefinierte Rollen ein.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.

Zugriffsbereiche für Compute Engine

Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:

Zugriffsbereich Gewährte Berechtigungen
https://www.googleapis.com/auth/monitoring.read Die gleichen Berechtigungen wie in roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write Die gleichen Berechtigungen wie in roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Vollzugriff auf Monitoring
https://www.googleapis.com/auth/cloud-platform Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs

Weitere Informationen finden Sie unter Zugriffsbereiche.

Best Practice: Es empfiehlt sich, Ihren VM-Instanzen den umfassendsten Zugriffsbereich (cloud-platform) zu geben und dann über IAM-Rollen den Zugriff auf bestimmte APIs und Vorgänge einzuschränken. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.