Controlar o acesso com o IAM

Para usar o Monitoring, é preciso ter as permissões apropriadas do Identity and Access Management (IAM). Em geral, cada método REST em uma API tem uma permissão associada. Para usar o método ou um recurso do console que depende dele, você precisa ter a permissão para usar o método correspondente. As permissões não são concedidas diretamente aos usuários. Em vez disso, elas são concedidas indiretamente por meio de papéis, que agrupam várias permissões para facilitar o gerenciamento delas:

Os papéis para combinações comuns de permissões já estão predefinidos para você. No entanto, também é possível criar suas próprias combinações de permissões gerando papéis personalizados do IAM.

Prática recomendada

Recomendamos que você crie Grupos do Google para gerenciar o acesso a projetos doGoogle Cloud :

VPC Service Controls

Para ter mais acesso de controle aos dados de monitoramento, use o VPC Service Controls, além do IAM.

O VPC Service Controls oferece segurança adicional para o Cloud Monitoring, o que ajuda a reduzir o risco de filtração externa de dados. Com o VPC Service Controls, é possível adicionar um escopo de métricas a um perímetro de serviço que protege os recursos e serviços do Cloud Monitoring contra solicitações originadas de fora do perímetro.

Saiba mais sobre perímetros de serviço na documentação de configuração dos perímetros de serviço do VPC Service Controls.

Para informações sobre o suporte do Monitoring para o VPC Service Controls, incluindo limitações conhecidas, consulte a documentação do VPC Service Controls do Monitoring.

Conceder acesso ao Cloud Monitoring

Para gerenciar papéis do IAM para principais, use a página "Identity and Access Management" no Google Cloud console ou na Google Cloud CLI. No entanto, o Cloud Monitoring oferece uma interface simplificada que permite gerenciar seus papéis específicos do Monitoring, papéis no nível do projeto e os papéis comuns do Cloud Logging e do Cloud Trace.

Para conceder aos principais acesso ao Monitoring, Cloud Logging ou Cloud Trace, ou para conceder uma função no nível do projeto, faça o seguinte:

Console

  1. No console Google Cloud , acesse a página  Permissões:

    Acessar Permissões

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Monitoring.

    A página Permissões não mostra todas as principais. Ele lista apenas os principais que têm um papel no nível do projeto ou um papel específico para Monitoring, Logging ou Trace.

    As opções nesta página permitem visualizar todos os principais cujos papéis incluem qualquer permissão do Monitoring.

  2. Clique em CONCEDER ACESSO.

  3. Clique em Novos principais e insira o nome de usuário do principal. É possível adicionar vários principais.

  4. Expanda Selecionar um papel, escolha um valor no menu Por produto ou serviço e selecione um papel no menu Papéis:

    Seleção por produto ou serviço Seleção de papéis Descrição
    Monitoramento Visualizador de monitoramento Ver dados e informações de configuração do Monitoring. Por exemplo, os principais com essa função podem ver painéis personalizados e políticas de alertas.
    Monitoramento Editor do Monitoring Acessar dados do Monitoring e criar e editar configurações. Por exemplo, os principais com essa função podem criar painéis personalizados e políticas de alertas.
    Monitoramento Administrador do Monitoring Acesso total ao Monitoring no console Google Cloud e na API Cloud Monitoring. É possível ver dados do Monitoring, criar e editar configurações e modificar o escopo de métricas.
    Cloud Trace Usuário do Cloud Trace Acesso total ao console do Trace, acesso de leitura a traces e acesso de leitura e gravação a coletores. Para mais informações, consulte Papéis do Trace.
    Cloud Trace Administrador do Cloud Trace Acesso total ao console do Trace, acesso de leitura e gravação a traces e acesso de leitura e gravação a coletores. Para mais informações, consulte Papéis do Trace.
    Logging Visualizador de registros Ver acesso aos registros. Para mais informações, consulte Papéis do Logging.
    Logging Administrador do Logging Acesso total a todos os recursos do Cloud Logging. Para mais informações, consulte Papéis do Logging.
    Projeto Leitor Acesso de leitura à maioria dos recursos do Google Cloud .
    Projeto Editor Visualize, crie, atualize e exclua a maioria dos recursos do Google Cloud .
    Projeto Proprietário Acesso total à maioria dos recursos do Google Cloud .

  5. Opcional: para conceder outro papel aos mesmos principais, clique em Adicionar outro papel e repita a etapa anterior.

  6. Clique em Salvar.

As etapas anteriores descrevem como conceder a um principal determinados papéis usando as páginas do Monitoring no console Google Cloud . Para essas funções, esta página também oferece opções de edição e exclusão:

  • Para remover papéis de um principal, marque a caixa ao lado dele e clique em Remover acesso.

  • Para editar os papéis de um principal, clique em Editar. Depois de atualizar as configurações, clique em Salvar.

gcloud

Use o comando gcloud projects add-iam-policy-binding para conceder o papel monitoring.viewer ou monitoring.editor.

Exemplo:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Use o comando gcloud projects get-iam-policy para confirmar os papéis concedidos:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Papéis predefinidos

Esta seção lista um subconjunto de papéis do IAM predefinidos pelo Cloud Monitoring.

Papéis do Monitoring

Os papéis a seguir concedem permissões gerais para o Monitoring:

Nome
Cargo		 Inclui as permissões
roles/monitoring.viewer
Visualizador do Monitoring		 Concede acesso somente leitura ao Monitoring no console Google Cloud e na API Cloud Monitoring.
roles/monitoring.editor
Editor do Monitoring		 Concede acesso de leitura e gravação ao Monitoring no console Google Cloud e na API Cloud Monitoring.
roles/monitoring.admin
Administrador do Monitoring		 Concede acesso total ao Monitoring no Google Cloud console e na API Cloud Monitoring.

O papel a seguir é usado pelas contas de serviço para acesso somente de gravação:

Nome
Cargo		 Descrição
roles/monitoring.metricWriter
Gravador de métricas do Monitoring

Esse papel é para contas de serviço e agentes.
Não permite acesso ao Monitoring no console Google Cloud .
Permite gravar dados de monitoramento em um escopo de métricas.

Funções da política de alertas

Os papéis a seguir concedem permissões para políticas de alertas:

Nome
Cargo		 Descrição
roles/monitoring.alertPolicyViewer
Visualizador de AlertPolicy do Monitoring		 Concede acesso somente leitura a políticas de alertas.
roles/monitoring.alertPolicyEditor
Editor de AlertPolicy do Monitoring		 Concede acesso de leitura e gravação a políticas de alertas.

Funções do painel

Os papéis a seguir concedem permissões somente para painéis:

Nome
Cargo		 Descrição
roles/monitoring.dashboardViewer
Visualizador de configuração de painel do Monitoring		 Concede acesso somente leitura às configurações do painel.
roles/monitoring.dashboardEditor
Editor de configuração de painel do Monitoring		 Concede acesso de leitura e gravação às configurações do painel.

Funções de incidentes

Os papéis a seguir concedem permissões somente para incidentes:

Nome
Cargo		 Descrição
roles/monitoring.cloudConsoleIncidentViewer
Visualizador de incidentes do Console do Cloud do Monitoring		 Concede acesso para visualizar incidentes usando o console do Google Cloud .
roles/monitoring.cloudConsoleIncidentEditor
Editor de incidentes do Console do Cloud Monitoring		 Concede acesso para ver, reconhecer e fechar incidentes usando o console Google Cloud .

Para informações sobre como resolver erros de permissão do IAM ao visualizar incidentes, consulte Não foi possível ver os detalhes do incidente devido a um erro de permissão.

Funções de canal de notificação

Os papéis a seguir concedem permissões apenas para canais de notificação:

Nome
Cargo		 Descrição
roles/monitoring.notificationChannelViewer
Visualizador de NotificationChannel do Monitoring		 Concede acesso somente leitura a canais de notificação.
roles/monitoring.notificationChannelEditor
Editor de NotificationChannel do Monitoring		 Concede acesso de leitura e gravação a canais de notificação.

Adiar papéis de notificação

Os papéis a seguir concedem permissões para adiar notificações:

Nome
Cargo		 Descrição
roles/monitoring.snoozeViewer
Visualizador de monitoramento do adiamento		 Concede acesso somente leitura a adiamentos.
roles/monitoring.snoozeEditor
Editor de monitoramento de adiamento		 Concede acesso de leitura/gravação a adiamentos.

Papéis de monitoramento de serviços

Os papéis a seguir concedem permissões para o gerenciamento de serviços:

Nome
Cargo		 Descrição
roles/monitoring.servicesViewer
Visualizador dos serviços do Monitoring		 Concede acesso somente leitura aos serviços.
roles/monitoring.servicesEditor
Editor dos serviços do Monitoring		 Concede acesso de leitura e gravação aos serviços.

Para mais informações sobre o monitoramento de serviços, consulte Monitoramento de SLO.

Papéis de configuração de verificação de tempo de atividade

Os papéis a seguir concedem permissões somente para configurações da verificação de tempo de atividade:

Nome
Cargo		 Descrição
roles/monitoring.uptimeCheckConfigViewer
Visualizador de configurações de verificação de tempo de atividade do Monitoring		 Concede acesso somente leitura a configurações de verificação de tempo de atividade.
roles/monitoring.uptimeCheckConfigEditor
Editor de configurações de verificação de tempo de atividade do Monitoring		 Concede acesso de leitura e gravação a configurações de verificação de tempo de atividade.

Funções de configuração do escopo de métricas

Os papéis a seguir concedem permissões gerais para escopos de métricas:

Nome
Cargo		 Descrição
roles/monitoring.metricsScopesViewer
Leitor de escopos de métricas de monitoramento		 Concede acesso somente leitura aos escopos de métricas.
roles/monitoring.metricsScopesAdmin
Administrador de escopos de métricas do Monitoring		 Concede acesso de leitura e gravação aos escopos de métricas.

Permissões para papéis predefinidos

Nesta seção, listamos as permissões atribuídas a papéis predefinidos associados ao Monitoring.

Para mais informações sobre papéis predefinidos, consulte IAM: papéis e permissões. Para receber ajuda para escolher os papéis predefinidos mais apropriados, consulte Escolher papéis predefinidos.

Permissões para papéis do Monitoring

Role Permissions

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update
  • monitoring.alerts.get
  • monitoring.alerts.list
  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

(roles/monitoring.alertViewer)

Read access to alerts.

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.notificationServiceAgent)

Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project.

bigquery.jobs.create

cloudfunctions.functions.get

cloudtrace.traces.patch

logging.links.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.list

run.routes.invoke

servicedirectory.networks.access

servicedirectory.services.resolve

serviceusage.services.use

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

monitoring.alerts.*

  • monitoring.alerts.get
  • monitoring.alerts.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Permissões do Monitoring incluídas em papéis básicos do Google Cloud

Os Google Cloud papéis básicos incluem as seguintes permissões:

Nome
Cargo		 Inclui as permissões
roles/viewer
Leitor 		As permissões do Monitoring são iguais às de roles/monitoring.viewer.
roles/editor
Editor

As permissões do Monitoring são iguais às de roles/monitoring.editor, com exceção da permissão stackdriver.projects.edit. O papel roles/editor não inclui a permissão stackdriver.projects.edit.

Essa função não concede permissão para modificar um escopo de métricas. Para modificar um escopo de métricas usando a API, seu papel precisa incluir a permissão monitoring.metricsScopes.link. Para modificar um escopo de métricas ao usar o console Google Cloud , seu papel precisa incluir a permissão monitoring.metricsScopes.link ou você precisa ter o papel roles/monitoring.editor.
roles/owner
Proprietário 		As permissões do Monitoring são iguais às de roles/monitoring.admin.

Papéis personalizados

Crie um papel personalizado quando quiser conceder a um principal um conjunto de permissões mais limitado do que aqueles concedidos com papéis predefinidos. Por exemplo, se você configurar o Assured Workloads porque tem requisitos de residência de dados ou Nível de impacto 4 (IL4), não use verificações de tempo de atividade porque não há garantia de que os dados de verificação de tempo de atividade sejam mantidos em um local geográfico específico. Para evitar o uso de verificações de tempo de atividade, crie uma função que não inclua permissões com o prefixo monitoring.uptimeCheckConfigs.

Para criar um papel personalizado com as permissões do Monitoring, siga estas etapas:

  • Para um papel que conceda permissões apenas para a API Monitoring, escolha as permissões na seção Permissões e papéis predefinidos.

  • Para um papel que conceda permissões para o Monitoring no consoleGoogle Cloud , escolha entre os grupos de permissões na seção Papéis do Monitoring.

  • Para conceder a capacidade de gravar dados de monitoramento, inclua as permissões do papel roles/monitoring.metricWriter na seção Permissões e papéis predefinidos.

Para mais informações sobre papéis personalizados, consulte Como compreender papéis personalizadas do IAM.

Escopos de acesso do Compute Engine

Os escopos de acesso são o método legado de especificar permissões para as instâncias de VM do Compute Engine. Os escopos de acesso a seguir se aplicam ao Monitoring:

Escopo de acesso Permissões concedidas
https://www.googleapis.com/auth/monitoring.read As mesmas permissões de roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write As mesmas permissões de roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Acesso completo ao Monitoring.
https://www.googleapis.com/auth/cloud-platform Acesso completo a todas as APIs do Cloud ativadas.

Para mais detalhes, consulte Escopos de acesso.

Prática recomendada. Uma prática recomendada é fornecer às instâncias de VM o escopo de acesso mais avançado, cloud-platform. Além disso, use os papéis do IAM para restringir o acesso a APIs e operações específicas. Para mais detalhes, consulte Permissões da conta de serviço.