Cette page a été traduite par l'API Cloud Translation.

Contrôler les accès avec IAM

Pour utiliser Monitoring, vous devez disposer des autorisations Identity and Access Management (IAM) appropriées. En général, chaque méthode REST d'une API a une autorisation associée. Pour utiliser la méthode correspondante ou une fonctionnalité de la console qui repose sur elle, vous devez être autorisé à utiliser la méthode correspondante. Les autorisations ne sont pas accordées directement aux utilisateurs. Elles sont accordées indirectement via des rôles, qui regroupent plusieurs autorisations pour faciliter leur gestion:

Pour en savoir plus sur le contrôle des accès, consultez la page Concepts liés à la gestion des accès.

Pour en savoir plus sur l'attribution de rôles aux comptes principaux, consultez la page Accorder l'accès à Cloud Monitoring.

Les rôles pour les combinaisons d'autorisations courantes sont prédéfinis. Toutefois, vous pouvez également créer vos propres combinaisons d'autorisations en créant des rôles personnalisés IAM.

Bonne pratique

Nous vous recommandons de créer des groupes Google pour gérer l'accès aux projets Google Cloud:

Pour en savoir plus, consultez la page Gérer les groupes dans la console Google Cloud.
Pour en savoir plus sur la définition de limites sur les rôles, consultez la section Définir des limites d'attribution de rôles.
Pour obtenir la liste complète des rôles et des autorisations IAM, consultez la documentation de référence sur les rôles de base et prédéfinis.

VPC Service Controls

Pour mieux contrôler l'accès aux données de surveillance, utilisez VPC Service Controls en plus d'IAM.

VPC Service Controls offre une sécurité supplémentaire pour Cloud Monitoring afin de réduire le risque d'exfiltration de données. À l'aide de VPC Service Controls, vous pouvez ajouter un champ d'application des métriques à un périmètre de service afin de protéger les ressources et les services Cloud Monitoring des requêtes provenant de l'extérieur du périmètre.

Pour en savoir plus sur les périmètres de service, consultez la documentation concernant la configuration du périmètre de service VPC Service Controls.

Pour en savoir plus sur la compatibilité de Monitoring avec VPC Service Controls, y compris les limites connues, consultez la documentation sur VPC Service Controls et Monitoring.

Accorder l'accès à Cloud Monitoring

Pour gérer les rôles IAM des comptes principaux, vous pouvez utiliser la page Identity and Access Management de la console Google Cloud ou la Google Cloud CLI. Cependant, Cloud Monitoring fournit une interface simplifiée qui vous permet de gérer vos rôles spécifiques à Monitoring, les rôles au niveau du projet, ainsi que les rôles courants pour Cloud Logging et Cloud Trace.

Pour accorder aux comptes principaux l'accès à Monitoring, Cloud Logging ou Cloud Trace, ou pour leur attribuer un rôle au niveau du projet, procédez comme suit:

Console

Dans la console Google Cloud, accédez à la page Autorisations:
Accédez à Autorisations.

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Surveillance.

La page Autorisations n'affiche pas tous les comptes principaux. Il ne répertorie que les comptes principaux qui ont un rôle au niveau du projet ou un rôle spécifique à Monitoring, Logging ou Trace.

Les options de cette page vous permettent d'afficher tous les comptes principaux dont les rôles incluent une autorisation Monitoring.
Cliquez sur Accorder l'accès.
Cliquez sur Nouveaux comptes principaux et saisissez le nom d'utilisateur du compte principal. Vous pouvez ajouter plusieurs comptes principaux.

Développez Sélectionner un rôle, sélectionnez une valeur dans le menu Par produit ou service, puis sélectionnez un rôle dans le menu Rôles:

Sélection par produit ou service	Sélection des rôles	Description
Surveillance	Lecteur Monitoring	Afficher les données Monitoring et les informations de configuration Par exemple, les comptes principaux disposant de ce rôle peuvent afficher les tableaux de bord personnalisés et les règles d'alerte.
Surveillance	Éditeur Monitoring	Afficher les données Monitoring, ainsi que créer et modifier des configurations. Par exemple, les comptes principaux disposant de ce rôle peuvent créer des tableaux de bord personnalisés et des règles d'alerte.
Surveillance	Administrateur Monitoring	Affichez les données Monitoring, créez et modifiez des configurations, et modifiez le champ d'application des métriques.
Cloud Trace	Utilisateur Cloud Trace	Accès complet à la console Trace, accès en lecture aux traces et accès en lecture/écriture aux récepteurs. Pour en savoir plus, consultez la section Rôles de trace.
Cloud Trace	Administrateur Cloud Trace	Accès complet à la console Trace, accès en lecture/écriture aux traces et accès en lecture/écriture aux récepteurs. Pour en savoir plus, consultez la section Rôles de trace.
Journalisation	Visionneuse de journaux	Accès en lecture aux journaux. Pour en savoir plus, consultez la section Rôles Logging.
Journalisation	Administrateur Logging	Accès complet à toutes les fonctionnalités de Cloud Logging. Pour en savoir plus, consultez la section Rôles Logging.
Projet	Lecteur	Accès en lecture à la plupart des ressources Google Cloud.
Projet	Éditeur	Consultez, créez, modifiez et supprimez la plupart des ressources Google Cloud.
Projet	Propriétaire	Accès complet à la plupart des ressources Google Cloud.

Facultatif: Pour attribuer un autre rôle aux mêmes comptes principaux, cliquez sur Ajouter un autre rôle et répétez l'étape précédente.
Cliquez sur Enregistrer.

Les étapes précédentes décrivent comment attribuer certains rôles à un compte principal à l'aide des pages Monitoring de la console Google Cloud. Pour ces rôles, cette page accepte également les options de modification et de suppression:

Pour supprimer des rôles associés à un compte principal, cochez la case correspondante, puis cliquez sur Supprimer l'accès.
Pour modifier les rôles d'un compte principal, cliquez sur Modifier. Après avoir mis à jour les paramètres, cliquez sur Enregistrer.

gcloud

Utilisez la commande gcloud projects add-iam-policy-binding pour attribuer le rôle monitoring.viewer ou monitoring.editor.

Exemple :

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Vous pouvez confirmer les rôles attribués à l'aide de la commande gcloud projects get-iam-policy :

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Rôles prédéfinis

Cette section répertorie un sous-ensemble de rôles IAM prédéfinis par Cloud Monitoring.

Rôles Monitoring

Les rôles suivants accordent des autorisations générales pour Monitoring :

Titre Nom	Autorisations associées
`roles/monitoring.viewer` Lecteur Monitoring	Accorde un accès en lecture seule àMonitoring dans la console Google Cloud età l'API Cloud Monitoring.
`roles/monitoring.editor` Éditeur Monitoring	Accorde un accès en lecture/écriture àMonitoring dans la console Google Cloud et àl'API Cloud Monitoring.
`roles/monitoring.admin` Administrateur Monitoring	Accorde un accès complet àMonitoring dans la console Google Cloud etl'accès en lecture/écriture à l'API Cloud Monitoring.

Le rôle suivant est utilisé par les comptes de service pour l'accès en écriture seule :

Titre Nom	Description
`roles/monitoring.metricWriter` Rédacteur de métriques Monitoring	Ce rôle est destiné aux comptes de service et aux agents. N'autorise pas l'accès à Monitoring dans la console Google Cloud. Permet d'écrire des données de surveillance dans un champ d'application des métriques.

Rôles associés aux règles d'alerte

Les rôles suivants accordent des autorisations pour les règles d'alerte:

Titre Nom	Description
`roles/monitoring.alertPolicyViewer` Lecteur Monitoring AlertPolicy	Accorde un accès en lecture seule aux règles d'alerte.
`roles/monitoring.alertPolicyEditor` Éditeur Monitoring AlertPolicy	Accorde un accès en lecture/écriture aux règles d'alerte.

Rôles associés au tableau de bord

Les rôles suivants n'accordent d'autorisations que pour les tableaux de bord :

Titre Nom	Description
`roles/monitoring.dashboardViewer` Lecteur de configuration du tableau de bord Monitoring	Accorde un accès en lecture seule aux configurations de tableaux de bord.
`roles/monitoring.dashboardEditor` Éditeur de configuration du tableau de bord Monitoring	Accorde un accès en lecture/écriture aux configurations de tableaux de bord.

Rôles associés aux incidents

Les rôles suivants n'accordent des autorisations que pour les incidents:

Titre Nom	Description
`roles/monitoring.cloudConsoleIncidentViewer` Lecteur d'incidents Monitoring dans la console Cloud	Permet d'afficher les incidents à l'aide de la console Google Cloud.
`roles/monitoring.cloudConsoleIncidentEditor` Éditeur d'incident Monitoring (via la console Cloud)	Permet d'afficher, de confirmer et de fermer les incidents à l'aide de la console Google Cloud.

Pour en savoir plus sur la résolution des erreurs d'autorisation IAM lors de l'affichage des incidents, consultez la section Impossible d'afficher les détails de l'incident en raison d'une erreur d'autorisation.

Rôles associés aux canaux de notification

Les rôles suivants n'accordent que des autorisations NotificationChannel (canaux de notification) :

Titre Nom	Description
`roles/monitoring.notificationChannelViewer` Lecteur Monitoring NotificationChannel	Accorde un accès en lecture seule aux canaux de notification.
`roles/monitoring.notificationChannelEditor` Éditeur Monitoring NotificationChannel	Accorde un accès en lecture/écriture aux canaux de notification.

Répéter les rôles de notification

Les rôles suivants accordent des autorisations de mise en attente des notifications:

Titre Nom	Description
`roles/monitoring.snoozeViewer` Lecteur de mises en attente Monitoring	Accorde un accès en lecture seule aux mises en attente.
`roles/monitoring.snoozeEditor` Éditeur de mises en attente Monitoring	Accorde un accès en lecture/écriture aux mises en pause.

Rôles de surveillance des services

Les rôles suivants accordent des autorisations pour la gestion des services :

Titre Nom	Description
`roles/monitoring.servicesViewer` Lecteur pour les services de surveillance	Accorde un accès en lecture seule aux services.
`roles/monitoring.servicesEditor` Collaborateur pour les services de surveillance	Accorde un accès en lecture/écriture aux services.

Pour en savoir plus sur la surveillance des services, consultez la page Surveillance SLO.

Rôles de configuration des tests de disponibilité

Les rôles suivants n'accordent d'autorisations que pour les configurations des tests de disponibilité :

Titre Nom	Description
`roles/monitoring.uptimeCheckConfigViewer` Lecteur de configuration des tests de disponibilité Monitoring	Accorde un accès en lecture seule aux configurations des tests de disponibilité.
`roles/monitoring.uptimeCheckConfigEditor` Éditeur de configuration des tests de disponibilité Monitoring	Accorde un accès en lecture/écriture aux configurations des tests de disponibilité.

Rôles de configuration du champ d'application des métriques

Les rôles suivants accordent des autorisations générales pour les champs d'application de métriques:

Titre Nom	Description
`roles/monitoring.metricsScopesViewer` Lecteur des champs d'application des métriques de surveillance	Accorde un accès en lecture seule aux champs d'application des métriques.
`roles/monitoring.metricsScopesAdmin` Administrateur des champs d'application des métriques de surveillance	Accorde un accès en lecture/écriture aux champs d'application des métriques.

Autorisations pour les rôles prédéfinis

Cette section répertorie les autorisations attribuées aux rôles prédéfinis associés à Monitoring.

Pour en savoir plus sur les rôles prédéfinis, consultez la page IAM: rôles et autorisations. Pour vous aider à choisir les rôles prédéfinis les plus appropriés, consultez la page Choisir les rôles prédéfinis.

Autorisations pour les rôles Monitoring

Role Permissions

Role	Permissions
Monitoring Admin (`roles/monitoring.admin`) Provides the same access as the Monitoring Editor role (`roles/monitoring.editor`). Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.update` `monitoring.dashboards.create` `monitoring.dashboards.delete` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.update` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.metricsScopes.link` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.getVerificationCode` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.publicWidgets.create` `monitoring.publicWidgets.delete` `monitoring.publicWidgets.get` `monitoring.publicWidgets.list` `monitoring.publicWidgets.update` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.*` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring AlertPolicy Editor (`roles/monitoring.alertPolicyEditor`) Read/write access to alerting policies.	`monitoring.alertPolicies.*` `monitoring.alertPolicies.create` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.update`
Monitoring AlertPolicy Viewer (`roles/monitoring.alertPolicyViewer`) Read-only access to alerting policies.	`monitoring.alertPolicies.get` `monitoring.alertPolicies.list`
Monitoring Cloud Console Incident Editor ^Beta (`roles/monitoring.cloudConsoleIncidentEditor`) Read/write access to incidents from Cloud Console.
Monitoring Cloud Console Incident Viewer ^Beta (`roles/monitoring.cloudConsoleIncidentViewer`) Read access to incidents from Cloud Console.
Monitoring Dashboard Configuration Editor (`roles/monitoring.dashboardEditor`) Read/write access to dashboard configurations.	`monitoring.dashboards.*` `monitoring.dashboards.create` `monitoring.dashboards.delete` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.update`
Monitoring Dashboard Configuration Viewer (`roles/monitoring.dashboardViewer`) Read-only access to dashboard configurations.	`monitoring.dashboards.get` `monitoring.dashboards.list`
Monitoring Editor (`roles/monitoring.editor`) Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.update` `monitoring.dashboards.` `monitoring.dashboards.create` `monitoring.dashboards.delete` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.update` `monitoring.groups.` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.publicWidgets.` `monitoring.publicWidgets.create` `monitoring.publicWidgets.delete` `monitoring.publicWidgets.get` `monitoring.publicWidgets.list` `monitoring.publicWidgets.update` `monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring Metric Writer (`roles/monitoring.metricWriter`) Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role: Project	`monitoring.metricDescriptors.create` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.*` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.timeSeries.create`
Monitoring Metrics Scopes Admin ^Beta (`roles/monitoring.metricsScopesAdmin`) Access to add and remove monitored projects from metrics scopes.	`monitoring.metricsScopes.link` `resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring Metrics Scopes Viewer ^Beta (`roles/monitoring.metricsScopesViewer`) Read-only access to metrics scopes and their monitored projects.	`resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring NotificationChannel Editor ^Beta (`roles/monitoring.notificationChannelEditor`) Read/write access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify`
Monitoring NotificationChannel Viewer ^Beta (`roles/monitoring.notificationChannelViewer`) Read-only access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list`
Monitoring Services Editor (`roles/monitoring.servicesEditor`) Read/write access to services.	`monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update`
Monitoring Services Viewer (`roles/monitoring.servicesViewer`) Read-only access to services.	`monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list`
Monitoring Snooze Editor (`roles/monitoring.snoozeEditor`)	`monitoring.snoozes.*` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update`
Monitoring Snooze Viewer (`roles/monitoring.snoozeViewer`)	`monitoring.snoozes.get` `monitoring.snoozes.list`
Monitoring Uptime Check Configuration Editor ^Beta (`roles/monitoring.uptimeCheckConfigEditor`) Read/write access to uptime check configurations.	`monitoring.uptimeCheckConfigs.*` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update`
Monitoring Uptime Check Configuration Viewer ^Beta (`roles/monitoring.uptimeCheckConfigViewer`) Read-only access to uptime check configurations.	`monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list`
Monitoring Viewer (`roles/monitoring.viewer`) Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.groups.get` `monitoring.groups.list` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.publicWidgets.get` `monitoring.publicWidgets.list` `monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `opsconfigmonitoring.resourceMetadata.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get` `stackdriver.resourceMetadata.list`

Monitoring Admin

(roles/monitoring.admin)

Provides the same access as the Monitoring Editor role (roles/monitoring.editor).

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.*

monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update
monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update
monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update
monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.metricsScopes.link
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.getVerificationCode
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.publicWidgets.create
monitoring.publicWidgets.delete
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.publicWidgets.update
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update
monitoring.timeSeries.create
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring AlertPolicy Editor

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update

Monitoring AlertPolicy Viewer

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

Monitoring Cloud Console Incident Editor ^Beta

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

Monitoring Cloud Console Incident Viewer ^Beta

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

Monitoring Dashboard Configuration Editor

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update

Monitoring Dashboard Configuration Viewer

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

Monitoring Editor

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update

monitoring.groups.*

monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update

monitoring.metricDescriptors.*

monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.publicWidgets.*

monitoring.publicWidgets.create
monitoring.publicWidgets.delete
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.publicWidgets.update

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

monitoring.timeSeries.*

monitoring.timeSeries.create
monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring Metric Writer

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

Monitoring Metrics Scopes Admin ^Beta

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring Metrics Scopes Viewer ^Beta

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring NotificationChannel Editor ^Beta

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

Monitoring NotificationChannel Viewer ^Beta

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

Monitoring Services Editor

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

Monitoring Services Viewer

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

Monitoring Snooze Editor

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

Monitoring Snooze Viewer

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

Monitoring Uptime Check Configuration Editor ^Beta

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

Monitoring Uptime Check Configuration Viewer ^Beta

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

Monitoring Viewer

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.publicWidgets.get

monitoring.publicWidgets.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Autorisations pour les rôles de surveillance de la configuration des opérations

Role Permissions

Role	Permissions
Ops Config Monitoring Resource Metadata Viewer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.viewer`) Read-only access to resource metadata.	`opsconfigmonitoring.resourceMetadata.list`
Ops Config Monitoring Resource Metadata Writer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.	`opsconfigmonitoring.resourceMetadata.write`

Ops Config Monitoring Resource Metadata Viewer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

Ops Config Monitoring Resource Metadata Writer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Autorisations pour les rôles Stackdriver

Role Permissions

Role	Permissions
Stackdriver Accounts Editor (`roles/stackdriver.accounts.editor`) Read/write access to manage Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.projects.*` `stackdriver.projects.edit` `stackdriver.projects.get`
Stackdriver Accounts Viewer (`roles/stackdriver.accounts.viewer`) Read-only access to get and list information about Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get`
Stackdriver Resource Metadata Writer ^Beta (`roles/stackdriver.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.	`stackdriver.resourceMetadata.write`

Stackdriver Accounts Editor

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

stackdriver.projects.edit
stackdriver.projects.get

Stackdriver Accounts Viewer

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

Stackdriver Resource Metadata Writer ^Beta

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Autorisations Monitoring incluses dans les rôles Google Cloud

Les rôles Google Cloud incluent les autorisations suivantes :

Titre
Nom Autorisations associées

roles/viewer
Lecteur Autorisations Monitoring identiques à celles de roles/monitoring.viewer.

Titre Nom	Autorisations associées
`roles/viewer` Lecteur	Autorisations Monitoring identiques à celles de `roles/monitoring.viewer`.
`roles/editor` Éditeur	Autorisations Monitoring identiques à celles de `roles/monitoring.editor`, à l'exception de l'autorisation `stackdriver.projects.edit`. Le rôle `roles/editor` n'inclut pas l'autorisation `stackdriver.projects.edit`. Ce rôle n'accorde pas l'autorisation de modifier un champ d'application des métriques. Pour modifier un champ d'application des métriques lors de l'utilisation de l'API, votre rôle doit inclure l'autorisation `monitoring.metricsScopes.link`. Pour modifier un champ d'application des métriques lors de l'utilisation de la console Google Cloud, votre rôle doit inclure l'autorisation `monitoring.metricsScopes.link` ou vous devez disposer du rôle `roles/monitoring.editor`.
`roles/owner` Propriétaire	Autorisations Monitoring identiques à celles de `roles/monitoring.admin`.

roles/editor
Éditeur

Autorisations Monitoring identiques à celles de roles/monitoring.editor, à l'exception de l'autorisation stackdriver.projects.edit. Le rôle roles/editor n'inclut pas l'autorisation stackdriver.projects.edit.

Ce rôle n'accorde pas l'autorisation de modifier un champ d'application des métriques. Pour modifier un champ d'application des métriques lors de l'utilisation de l'API, votre rôle doit inclure l'autorisation monitoring.metricsScopes.link. Pour modifier un champ d'application des métriques lors de l'utilisation de la console Google Cloud, votre rôle doit inclure l'autorisation monitoring.metricsScopes.link ou vous devez disposer du rôle roles/monitoring.editor.

roles/owner
Propriétaire Autorisations Monitoring identiques à celles de roles/monitoring.admin.

Rôles personnalisés

Vous pouvez créer un rôle personnalisé lorsque vous souhaitez accorder à un compte principal un ensemble d'autorisations plus limité que celui accordé avec des rôles prédéfinis. Par exemple, si vous configurez Assured Workloads en raison des exigences de résidence des données ou d'impact 4 (IL4), vous ne devez pas utiliser de tests de disponibilité, car rien ne garantit que les données des tests de disponibilité seront conservées dans un emplacement géographique spécifique. Pour empêcher l'utilisation des tests de disponibilité, créez un rôle n'incluant aucune autorisation portant le préfixe monitoring.uptimeCheckConfigs.

Pour créer un rôle personnalisé avec des autorisations Monitoring, procédez comme suit :

Pour un rôle accordant des autorisations uniquement pour l'API Monitoring, faites votre choix parmi les autorisations dans la section Autorisations et rôles prédéfinis.
Pour un rôle accordant des autorisations pour Monitoring dans la console Google Cloud, choisissez l'un des groupes d'autorisations dans la section Rôles Monitoring.
Pour accorder la possibilité d'écrire des données de surveillance, incluez l'autorisation du rôle roles/monitoring.metricWriter dans la section Autorisations et rôles prédéfinis.

Pour plus d'informations sur les rôles personnalisés, consultez la page Comprendre les rôles personnalisés d'IAM.

Champs d'application d'accès à Compute Engine

Les champs d'application d'accès représentent l'ancienne méthode de spécification des autorisations associées aux instances de VM Compute Engine. Les champs d'application d'accès suivants s'appliquent à Monitoring :

Champ d'application d'accès	Autorisations attribuées
https://www.googleapis.com/auth/monitoring.read	Les mêmes autorisations que le rôle `roles/monitoring.viewer`.
https://www.googleapis.com/auth/monitoring.write	Les mêmes autorisations que le rôle `roles/monitoring.metricWriter`.
https://www.googleapis.com/auth/monitoring	Accès complet à Monitoring
https://www.googleapis.com/auth/cloud-platform	Accès complet à toutes les API Google Cloud activées

Pour plus de détails, consultez la section sur les champs d'application d'accès.

Bonnes pratiques. Il est recommandé de donner à vos instances de VM le niveau d'accès le plus élevé (cloud-platform), puis d'utiliser des rôles IAM pour limiter l'accès à des API et opérations spécifiques. Pour plus de détails, consultez la section relative aux autorisations de compte de service.

Contrôler les accès avec IAM

Bonne pratique

VPC Service Controls

Accorder l'accès à Cloud Monitoring

Console

gcloud

Rôles prédéfinis

Rôles Monitoring

Rôles associés aux règles d'alerte

Rôles associés au tableau de bord

Rôles associés aux incidents

Rôles associés aux canaux de notification

Répéter les rôles de notification

Rôles de surveillance des services

Rôles de configuration des tests de disponibilité

Rôles de configuration du champ d'application des métriques

Autorisations pour les rôles prédéfinis

Autorisations pour les rôles Monitoring

Monitoring Admin

Monitoring AlertPolicy Editor

Monitoring AlertPolicy Viewer

Monitoring Cloud Console Incident Editor Beta

Monitoring Cloud Console Incident Viewer Beta

Monitoring Dashboard Configuration Editor

Monitoring Dashboard Configuration Viewer

Monitoring Editor

Monitoring Metric Writer

Monitoring Metrics Scopes Admin Beta

Monitoring Metrics Scopes Viewer Beta

Monitoring NotificationChannel Editor Beta

Monitoring NotificationChannel Viewer Beta

Monitoring Services Editor

Monitoring Services Viewer

Monitoring Snooze Editor

Monitoring Snooze Viewer

Monitoring Uptime Check Configuration Editor Beta

Monitoring Uptime Check Configuration Viewer Beta

Monitoring Viewer

Autorisations pour les rôles de surveillance de la configuration des opérations

Ops Config Monitoring Resource Metadata Viewer Beta

Ops Config Monitoring Resource Metadata Writer Beta

Autorisations pour les rôles Stackdriver

Stackdriver Accounts Editor

Stackdriver Accounts Viewer

Stackdriver Resource Metadata Writer Beta

Autorisations Monitoring incluses dans les rôles Google Cloud

Rôles personnalisés

Champs d'application d'accès à Compute Engine

Monitoring Cloud Console Incident Editor ^Beta

Monitoring Cloud Console Incident Viewer ^Beta

Monitoring Metrics Scopes Admin ^Beta

Monitoring Metrics Scopes Viewer ^Beta

Monitoring NotificationChannel Editor ^Beta

Monitoring NotificationChannel Viewer ^Beta

Monitoring Uptime Check Configuration Editor ^Beta

Monitoring Uptime Check Configuration Viewer ^Beta

Ops Config Monitoring Resource Metadata Viewer ^Beta

Ops Config Monitoring Resource Metadata Writer ^Beta

Stackdriver Resource Metadata Writer ^Beta