Para usar o Monitoring, tem de ter as autorizações de gestão de identidade e de acesso (IAM) adequadas. Em geral, cada método REST numa API tem uma autorização associada. Para usar o método ou uma funcionalidade da consola que dependa do método, tem de ter autorização para usar o método correspondente. As autorizações não são concedidas diretamente aos utilizadores. Em vez disso, são concedidas indiretamente através de funções, que agrupam várias autorizações para facilitar a respetiva gestão:
- Para obter informações sobre o controlo de acesso, consulte o artigo Conceitos relacionados com a gestão de acessos.
- Para obter informações sobre como conceder funções a responsáveis, consulte o artigo Conceda acesso ao Cloud Monitoring.
As funções para combinações comuns de autorizações estão predefinidas para si. No entanto, também pode criar as suas próprias combinações de autorizações através da criação de funções personalizadas do IAM.
Prática recomendada
Recomendamos que crie grupos Google para gerir o acesso a Google Cloud projetos:
- Para mais informações, consulte o artigo Gerir grupos na Google Cloud consola.
- Para obter informações sobre como definir limites para funções, consulte o artigo Defina limites para a atribuição de funções.
- Para ver uma lista completa de funções e autorizações de IAM, consulte a referência de funções básicas e predefinidas de IAM.
VPC Service Controls
Para controlar ainda mais o acesso aos dados de monitorização, use os VPC Service Controls, além da IAM.
O VPC Service Controls oferece segurança adicional para o Cloud Monitoring para ajudar a mitigar o risco de exfiltração de dados. Com os VPC Service Controls, pode adicionar um âmbito de métricas a um perímetro de serviço que protege os recursos e os serviços do Cloud Monitoring de pedidos originados fora do perímetro.
Para saber mais acerca dos perímetros de serviço, consulte a documentação de configuração do perímetro de serviço do VPC Service Controls.
Para informações sobre o suporte do Monitoring para VPC Service Controls, incluindo limitações conhecidas, consulte a documentação do VPC Service Controls do Monitoring.
Conceda acesso ao Cloud Monitoring
Para gerir as funções da IAM para os responsáveis, pode usar a página Gestão de identidade e acesso na Google Cloud consola ou na CLI do Google Cloud. No entanto, o Cloud Monitoring oferece uma interface simplificada que lhe permite gerir as suas funções específicas do Monitoring, as funções ao nível do projeto e as funções comuns do Cloud Logging e Cloud Trace.
Para conceder aos principais acesso ao Monitoring, ao Cloud Logging ou ao Cloud Trace, ou para conceder uma função ao nível do projeto, faça o seguinte:
Consola
-
Na Google Cloud consola, aceda à página
Autorizações:Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é Monitorização.
A página Autorizações não apresenta todos os responsáveis. Apenas lista os responsáveis que têm uma função ao nível do projeto ou uma função específica do Monitoring, Logging ou Trace.
As opções nesta página permitem-lhe ver todos os responsáveis cujas funções incluem qualquer autorização de monitorização.
Clique em
Conceder acesso.Clique em Novos responsáveis e introduza o nome de utilizador do responsável. Pode adicionar vários responsáveis.
Expanda arrow_drop_down Selecionar uma função, selecione um valor no menu Por produto ou serviço e, de seguida, selecione uma função no menu Funções:
Seleção por produto ou serviço Seleção de funções Descrição Monitorização Visualizador de monitorização Ver dados de monitorização e informações de configuração. Por exemplo, os responsáveis com esta função podem ver painéis de controlo personalizados e políticas de alerta. Monitorização Editor de monitorização Ver dados de monitorização e criar e editar configurações. Por exemplo, os principais com esta função podem criar painéis de controlo personalizados e políticas de alerta. Monitorização Administrador de monitorização Acesso total à monitorização na Google Cloud consola e na API Cloud Monitoring. Pode ver dados de monitorização, criar e editar configurações, e modificar o âmbito das métricas. Cloud Trace Utilizador do Cloud Trace Acesso total à consola de rastreio, acesso de leitura aos rastreios e acesso de leitura/escrita aos destinos. Para mais informações, consulte o artigo Rastreie funções. Cloud Trace Administrador do Cloud Trace Acesso total à consola de rastreio, acesso de leitura/escrita a rastreios e acesso de leitura/escrita a destinos. Para mais informações, consulte o artigo Rastreie funções. Registo Visualizador de registos Ver acesso aos registos. Para mais informações, consulte o artigo Funções de registo. Registo Administrador de registo Acesso total a todas as funcionalidades do Cloud Logging. Para mais informações, consulte Funções de registo. Projeto Leitor Acesso para visualização à maioria dos Google Cloud recursos. Projeto Editor Ver, criar, atualizar e eliminar a maioria dos Google Cloud recursos. Projeto Proprietário Acesso total à maioria dos Google Cloud recursos. Opcional: para conceder a outros responsáveis outra função, clique em Adicionar outra função e repita o passo anterior.
Clique em Guardar.
Os passos anteriores descrevem como conceder determinadas funções a um principal através das páginas de monitorização na Google Cloud consola. Para estas funções, esta página também suporta opções de edição e eliminação:
Para remover funções de um principal, selecione a caixa junto ao principal e, de seguida, clique em
Remover acesso.Para editar as funções de um principal, clique em edit Editar. Depois de atualizar as definições, clique em Guardar.
gcloud
Use o comando
gcloud projects add-iam-policy-binding
para conceder a função monitoring.viewer
ou
monitoring.editor
.
Por exemplo:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Pode confirmar as funções concedidas através do comando
gcloud projects get-iam-policy
:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Funções predefinidas
Esta secção apresenta um subconjunto de funções do IAM predefinidas pelo Cloud Monitoring.
Funções de monitorização
As seguintes funções concedem autorizações gerais para a monitorização:
Nome Título |
Inclui autorizações |
---|---|
roles/monitoring.viewer Visitante de monitorização |
Concede acesso só de leitura à monitorização na Google Cloud consola e na API Cloud Monitoring. |
roles/monitoring.editor Editor de monitorização |
Concede acesso de leitura/escrita à monitorização na Google Cloud consola e na API Cloud Monitoring. |
roles/monitoring.admin Administrador de monitorização |
Concede acesso total à monitorização na Google Cloud consola e à Cloud Monitoring API. |
A seguinte função é usada pelas contas de serviço para acesso só de escrita:
Nome Título |
Descrição |
---|---|
roles/monitoring.metricWriter Escritor de métricas de monitorização |
Esta função destina-se a contas de serviço e agentes. |
Funções da política de alerta
As seguintes funções concedem autorizações para políticas de alerta:
Nome Título |
Descrição |
---|---|
roles/monitoring.alertPolicyViewer Visualizador da política de alertas de monitorização |
Concede acesso só de leitura às políticas de alerta. |
roles/monitoring.alertPolicyEditor Monitorizar o editor de políticas de alerta |
Concede acesso de leitura/escrita às políticas de alerta. |
Funções do painel de controlo
As seguintes funções concedem autorizações apenas para painéis de controlo:
Nome Título |
Descrição |
---|---|
roles/monitoring.dashboardViewer Visualizador de configuração do painel de controlo de monitorização |
Concede acesso só de leitura às configurações do painel de controlo. |
roles/monitoring.dashboardEditor Editor de configuração do painel de controlo de monitorização |
Concede acesso de leitura/escrita às configurações do painel de controlo. |
Funções de incidentes
As seguintes funções concedem autorizações apenas para incidentes:
Nome Título |
Descrição |
---|---|
roles/monitoring.cloudConsoleIncidentViewer Monitorização do visualizador de incidentes da Cloud Console |
Concede acesso à visualização de incidentes através da Google Cloud consola. |
roles/monitoring.cloudConsoleIncidentEditor Editor de incidentes da Cloud Console de monitorização |
Concede acesso para ver, confirmar e fechar incidentes através da consola Google Cloud . |
Para obter informações sobre como resolver erros de autorização do IAM ao ver incidentes, consulte o artigo Não é possível ver os detalhes do incidente devido a um erro de autorização.
Funções do canal de notificações
As seguintes funções concedem autorizações apenas para canais de notificação:
Nome Título |
Descrição |
---|---|
roles/monitoring.notificationChannelViewer Monitoring NotificationChannel Viewer |
Concede acesso só de leitura aos canais de notificação. |
roles/monitoring.notificationChannelEditor Monitorização do editor NotificationChannel |
Concede acesso de leitura/escrita aos canais de notificação. |
Suspenda funções de notificação
As seguintes funções concedem autorizações para adiar notificações:
Nome Título |
Descrição |
---|---|
roles/monitoring.snoozeViewer Leitor de adiamento da monitorização |
Concede acesso só de leitura a adiamentos. |
roles/monitoring.snoozeEditor Editor de adiamento da monitorização |
Concede acesso de leitura/escrita a adiamentos. |
Funções de monitorização de serviços
As seguintes funções concedem autorizações para gerir serviços:
Nome Título |
Descrição |
---|---|
roles/monitoring.servicesViewer Visualizador de serviços de monitorização |
Concede acesso só de leitura aos serviços. |
roles/monitoring.servicesEditor Editor de serviços de monitorização |
Concede acesso de leitura/escrita aos serviços. |
Para mais informações sobre a monitorização de serviços, consulte o artigo Monitorização de SLOs.
Funções de configuração de verificações de tempo de atividade
As seguintes funções concedem autorizações apenas para configurações de verificações de tempo de atividade:
Nome Título |
Descrição |
---|---|
roles/monitoring.uptimeCheckConfigViewer Visualizador de configurações da verificação do tempo de atividade da monitorização |
Concede acesso só de leitura às configurações de verificação do tempo de atividade. |
roles/monitoring.uptimeCheckConfigEditor Editor de configurações da verificação do tempo de atividade de monitorização |
Concede acesso de leitura/escrita às configurações de verificação do tempo de atividade. |
Funções de configuração do âmbito das métricas
As seguintes funções concedem autorizações gerais para os âmbitos das métricas:
Nome Título |
Descrição |
---|---|
roles/monitoring.metricsScopesViewer Os âmbitos das métricas de monitorização são os visitantes |
Concede acesso só de leitura aos âmbitos das métricas. |
roles/monitoring.metricsScopesAdmin Âmbitos das métricas de monitorização do administrador |
Concede acesso de leitura/escrita aos âmbitos das métricas. |
Autorizações para funções predefinidas
Esta secção lista as autorizações atribuídas a funções predefinidas associadas à monitorização.
Para mais informações sobre as funções predefinidas, consulte o artigo IAM: funções e autorizações. Para obter ajuda na escolha das funções predefinidas mais adequadas, consulte o artigo Escolha funções predefinidas.
Autorizações para funções de monitorização
Role | Permissions |
---|---|
Monitoring Admin( Provides full access to Cloud Monitoring. Lowest-level resources where you can grant this role:
|
|
Monitoring AlertPolicy Editor( Read/write access to alerting policies. |
|
Monitoring AlertPolicy Viewer( Read-only access to alerting policies. |
|
Monitoring Alert Viewer Beta( Read access to alerts. |
|
Monitoring Cloud Console Incident Editor Beta( Read/write access to incidents from Cloud Console. |
|
Monitoring Cloud Console Incident Viewer Beta( Read access to incidents from Cloud Console. |
|
Monitoring Dashboard Configuration Editor( Read/write access to dashboard configurations. |
|
Monitoring Dashboard Configuration Viewer( Read-only access to dashboard configurations. |
|
Monitoring Editor( Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Monitoring Metric Writer( Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role:
|
|
Monitoring Metrics Scopes Admin Beta( Access to add and remove monitored projects from metrics scopes. |
|
Monitoring Metrics Scopes Viewer Beta( Read-only access to metrics scopes and their monitored projects. |
|
Monitoring NotificationChannel Editor Beta( Read/write access to notification channels. |
|
Monitoring NotificationChannel Viewer Beta( Read-only access to notification channels. |
|
Monitoring Service Agent( Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project. |
|
Monitoring Services Editor( Read/write access to services. |
|
Monitoring Services Viewer( Read-only access to services. |
|
Monitoring Snooze Editor(
|
|
Monitoring Snooze Viewer(
|
|
Monitoring Uptime Check Configuration Editor Beta( Read/write access to uptime check configurations. |
|
Monitoring Uptime Check Configuration Viewer Beta( Read-only access to uptime check configurations. |
|
Monitoring Viewer( Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Ops Config Monitoring Resource Metadata Viewer Beta( Read-only access to resource metadata. |
|
Ops Config Monitoring Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata. |
|
Stackdriver Accounts Editor( Read/write access to manage Stackdriver account structure. |
|
Stackdriver Accounts Viewer( Read-only access to get and list information about Stackdriver account structure. |
|
Stackdriver Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata. |
|
Autorizações de monitorização incluídas nas Google Cloud funções básicas
As Google Cloud funções básicas incluem as seguintes autorizações:
Nome Título |
Inclui autorizações |
---|---|
roles/viewer Visitante |
As autorizações de monitorização são as mesmas que as
em roles/monitoring.viewer .
|
roles/editor Editor |
As autorizações de monitorização são as mesmas que as da
Esta função não concede autorização para modificar um âmbito de métricas.
Para modificar um âmbito de métricas quando usa a API, a sua função tem de incluir a autorização |
roles/owner Proprietário |
As autorizações de monitorização são as mesmas que as de
roles/monitoring.admin .
|
Funções personalizadas
Pode querer criar uma função personalizada quando quiser conceder a um principal um conjunto de autorizações mais limitado do que o concedido com funções predefinidas.
Por exemplo, se configurar o Assured Workloads porque tem requisitos de residência dos dados ou Nível de impacto 4 (IL4), não deve usar verificações de tempo de atividade, uma vez que não existe garantia de que os dados de verificação de tempo de atividade sejam mantidos numa localização geográfica específica.
Para impedir a utilização de verificações de tempo de atividade, crie uma função que não inclua autorizações com o prefixo monitoring.uptimeCheckConfigs
.
Para criar uma função personalizada com autorizações de monitorização, faça o seguinte:
Para uma função que conceda autorizações apenas para a API Monitoring, escolha entre as autorizações na secção Autorizações e funções predefinidas.
Para uma função que conceda autorizações para a monitorização na Google Cloud consola, escolha entre os grupos de autorizações na secção Funções de monitorização.
Para conceder a capacidade de escrever dados de monitorização, inclua as autorizações da função
roles/monitoring.metricWriter
na secção Autorizações e funções predefinidas.
Para mais informações sobre funções personalizadas, aceda a Compreender as funções personalizadas do IAM.
Âmbitos de acesso do Compute Engine
Os âmbitos de acesso são o método antigo de especificar autorizações para as suas instâncias de VM do Compute Engine. Os seguintes âmbitos de acesso aplicam-se à Monitorização:
Âmbito de acesso | Autorizações concedidas |
---|---|
https://www.googleapis.com/auth/monitoring.read | As mesmas autorizações que em roles/monitoring.viewer . |
https://www.googleapis.com/auth/monitoring.write | As mesmas autorizações que em roles/monitoring.metricWriter . |
https://www.googleapis.com/auth/monitoring | Acesso total à monitorização. |
https://www.googleapis.com/auth/cloud-platform | Acesso total a todas as APIs Cloud ativadas. |
Para mais detalhes, aceda a Âmbitos de acesso.
Prática recomendada. É uma boa prática conceder às suas instâncias de VM o âmbito de acesso mais poderoso (cloud-platform
) e, em seguida, usar funções do IAM para restringir o acesso a APIs e operações específicas. Para ver detalhes, aceda a
Autorizações da conta de serviço.