Per utilizzare Monitoring, devi disporre delle autorizzazioni appropriate per Identity and Access Management (IAM). In generale, a ogni metodo REST in un'API è associata un'autorizzazione. Per utilizzare il metodo o una funzionalità della console che si basa sul metodo, devi disporre dell'autorizzazione per utilizzare il metodo corrispondente. Le autorizzazioni non vengono concesse direttamente agli utenti, ma vengono concesse indirettamente tramite i ruoli, che raggruppano più autorizzazioni per semplificarne la gestione:
- Per informazioni sul controllo dell'accesso, consulta i concetti relativi alla gestione degli accessi.
- Per informazioni su come concedere i ruoli alle entità, consulta Concedere l'accesso a Cloud Monitoring.
I ruoli per combinazioni comuni di autorizzazioni sono predefiniti. Tuttavia, puoi anche creare le tue combinazioni di autorizzazioni creando ruoli personalizzati IAM.
Best practice
Ti consigliamo di creare gruppi Google per gestire l'accesso ai progetti Google Cloud:
- Per ulteriori informazioni, consulta Gestire i gruppi nella console Google Cloud.
- Per informazioni sull'impostazione di limiti per i ruoli, consulta Impostare i limiti per la concessione dei ruoli.
- Per un elenco completo dei ruoli e delle autorizzazioni IAM, consulta Riferimento per i ruoli IAM di base e predefiniti.
Controlli di servizio VPC
Per un ulteriore controllo dell'accesso ai dati di monitoraggio, utilizzare Controlli di servizio VPC oltre a IAM.
Controlli di servizio VPC fornisce ulteriore sicurezza per Cloud Monitoring per aiutare a mitigare il rischio di esfiltrazione di dati. Utilizzando Controlli di servizio VPC, puoi aggiungere un ambito delle metriche a un perimetro di servizio che protegge le risorse e i servizi di Cloud Monitoring dalle richieste provenienti dall'esterno del perimetro.
Per saperne di più sui perimetri di servizio, consulta la documentazione sulla configurazione del perimetro di servizio dei Controlli di servizio VPC.
Per informazioni sul supporto di Monitoring per i Controlli di servizio VPC, incluse limitazioni note, consulta la documentazione di Monitoring relativa ai Controlli di servizio VPC.
Concedi l'accesso a Cloud Monitoring
Per gestire i ruoli IAM per le entità, puoi utilizzare la pagina Identity and Access Management nella console Google Cloud o in Google Cloud CLI. Tuttavia, Cloud Monitoring offre un'interfaccia semplificata che consente di gestire i ruoli specifici di Monitoring, i ruoli a livello di progetto e i ruoli comuni per Cloud Logging e Cloud Trace.
Per concedere alle entità l'accesso a Monitoring, Cloud Logging o Cloud Trace oppure a concedere un ruolo a livello di progetto, segui questi passaggi:
Console
-
Nella console Google Cloud, vai alla pagina
Autorizzazioni:Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.
La pagina Autorizzazioni non mostra tutte le entità. Elenca solo le entità che hanno un ruolo a livello di progetto o un ruolo specifico di Monitoring, Logging o Trace.
Le opzioni in questa pagina consentono di visualizzare tutte le entità i cui ruoli includono qualsiasi autorizzazione di Monitoring.
Fai clic su
Concedi l'accesso.Fai clic su Nuove entità e inserisci il nome utente per l'entità. Puoi aggiungere diverse entità.
Espandi arrow_drop_down Seleziona un ruolo, seleziona un valore dal menu Per prodotto o servizio, quindi seleziona un ruolo dal menu Ruoli:
Selezione Per prodotto o servizio Selezione dei ruoli Descrizione Monitoraggio Visualizzatore Monitoring Visualizzare i dati e le informazioni di configurazione di Monitoring. Ad esempio, le entità con questo ruolo possono visualizzare dashboard personalizzate e criteri di avviso. Monitoraggio Editor di Monitoring Visualizza i dati di Monitoring e crea e modifica le configurazioni. Ad esempio, le entità con questo ruolo possono creare dashboard personalizzate e criteri di avviso. Monitoraggio Amministratore Monitoring Visualizza i dati di Monitoring, crea e modifica le configurazioni e modifica l'ambito delle metriche. Cloud Trace Utente Cloud Trace Accesso completo alla console di Trace, accesso in lettura alle tracce e accesso in lettura/scrittura ai sink. Per maggiori informazioni, consulta Ruoli di Trace. Cloud Trace Amministratore Cloud Trace Accesso completo alla console di Trace, accesso in lettura/scrittura alle tracce e accesso in lettura/scrittura ai sink. Per maggiori informazioni, consulta Ruoli di Trace. Logging Visualizzatore log Accesso in visualizzazione ai log. Per maggiori informazioni, consulta Ruoli di logging. Logging Amministratore Logging Accesso completo a tutte le funzionalità di Cloud Logging. Per maggiori informazioni, consulta Ruoli di logging. Progetto Visualizzatore Accesso in visualizzazione alla maggior parte delle risorse Google Cloud. Progetto Editor Visualizza, crea, aggiorna ed elimina la maggior parte delle risorse Google Cloud. Progetto Proprietario Accesso completo alla maggior parte delle risorse di Google Cloud. (Facoltativo) Per concedere alle stesse entità un altro ruolo, fai clic su Aggiungi un altro ruolo e ripeti il passaggio precedente.
Fai clic su Salva.
I passaggi precedenti descrivono come concedere a un'entità determinati ruoli utilizzando le pagine Monitoring nella console Google Cloud. Per questi ruoli, questa pagina supporta anche le opzioni di modifica ed eliminazione:
Per rimuovere i ruoli per un'entità, seleziona la casella accanto all'entità e fai clic su
Rimuovi accesso.Per modificare i ruoli di un'entità, fai clic su edit Modifica. Dopo aver aggiornato le impostazioni, fai clic su Salva.
gcloud
Utilizza il comando gcloud projects add-iam-policy-binding
per concedere il ruolo monitoring.viewer
o monitoring.editor
.
Ad esempio:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Puoi confermare i ruoli concessi utilizzando il comando gcloud projects get-iam-policy
:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Ruoli predefiniti
Questa sezione elenca un sottoinsieme di ruoli IAM predefiniti da Cloud Monitoring.
Ruoli di monitoraggio
I ruoli seguenti concedono autorizzazioni generali per Monitoring:
Nome Titolo |
Include le autorizzazioni |
---|---|
roles/monitoring.viewer Visualizzatore Monitoring |
Concede l'accesso in sola lettura a Monitoring nella console Google Cloud e all'API Cloud Monitoring. |
roles/monitoring.editor Editor Monitoring |
Concede l'accesso in lettura/scrittura a Monitoring nella console Google Cloud e all'API Cloud Monitoring. |
roles/monitoring.admin Amministratore Monitoring |
Concede l'accesso completo a Monitoring nella console Google Cloud e l'accesso in lettura/scrittura all'API Cloud Monitoring. |
Il seguente ruolo è utilizzato dagli account di servizio per l'accesso di sola scrittura:
Nome Titolo |
Descrizione |
---|---|
roles/monitoring.metricWriter Monitoraggio metriche Writer |
Questo ruolo riguarda gli account di servizio e gli agenti. |
Ruoli dei criteri di avviso
I ruoli seguenti concedono le autorizzazioni per i criteri di avviso:
Nome Titolo |
Descrizione |
---|---|
roles/monitoring.alertPolicyViewer Visualizzatore AlertPolicy Monitoring |
Concede l'accesso di sola lettura ai criteri di avviso. |
roles/monitoring.alertPolicyEditor Editor AlertPolicy Monitoring |
Concede l'accesso in lettura/scrittura ai criteri di avviso. |
Ruoli della dashboard
I ruoli seguenti concedono le autorizzazioni solo per le dashboard:
Nome Titolo |
Descrizione |
---|---|
roles/monitoring.dashboardViewer Visualizzatore configurazione dashboard di Monitoring |
Concede l'accesso di sola lettura alle configurazioni della dashboard. |
roles/monitoring.dashboardEditor Editor configurazione dashboard Monitoring |
Concede l'accesso in lettura/scrittura alle configurazioni della dashboard. |
Ruoli degli incidenti
I seguenti ruoli concedono le autorizzazioni solo per gli incidenti:
Nome Titolo |
Descrizione |
---|---|
roles/monitoring.cloudConsoleIncidentViewer Visualizzatore incidenti console Cloud Monitoring |
Concede l'accesso per visualizzare gli incidenti utilizzando la console Google Cloud. |
roles/monitoring.cloudConsoleIncidentEditor Editor incidenti console Cloud Monitoring |
Concede l'accesso per visualizzare, confermare e chiudere gli incidenti utilizzando la console Google Cloud. |
Per informazioni su come risolvere gli errori di autorizzazione IAM durante la visualizzazione degli incidenti, consulta Impossibile visualizzare i dettagli dell'incidente a causa di un errore di autorizzazione.
Ruoli del canale di notifica
I seguenti ruoli concedono le autorizzazioni solo per i canali di notifica:
Nome Titolo |
Descrizione |
---|---|
roles/monitoring.notificationChannelViewer Visualizzatore NotificationChannel monitoraggio |
Concede l'accesso di sola lettura ai canali di notifica. |
roles/monitoring.notificationChannelEditor Editor NotificationChannel monitoraggio |
Concede l'accesso in lettura/scrittura ai canali di notifica. |
Posticipare i ruoli delle notifiche
I seguenti ruoli concedono le autorizzazioni per posticipare le notifiche:
Nome Titolo |
Descrizione |
---|---|
roles/monitoring.snoozeViewer Visualizzatore posticipazione monitoraggio |
Concede l'accesso di sola lettura alle posticipazioni. |
roles/monitoring.snoozeEditor Monitoraggio dell'editor Posticipa |
Concede l'accesso in lettura/scrittura alle posticipazioni. |
Ruoli di monitoraggio dei servizi
I ruoli seguenti concedono le autorizzazioni per la gestione dei servizi:
Nome Titolo |
Descrizione |
---|---|
roles/monitoring.servicesViewer Visualizzatore dei servizi di Monitoring |
Concede l'accesso di sola lettura ai servizi. |
roles/monitoring.servicesEditor Editor dei servizi di Monitoring |
Concede l'accesso in lettura/scrittura ai servizi. |
Per saperne di più sul monitoraggio dei servizi, consulta Monitoraggio dello SLO.
Ruoli di configurazione dei controlli di uptime
I seguenti ruoli concedono le autorizzazioni solo per le configurazioni dei controlli di uptime:
Nome Titolo |
Descrizione |
---|---|
roles/monitoring.uptimeCheckConfigViewer Visualizzatore configurazioni controlli di uptime |
Concede l'accesso di sola lettura alle configurazioni dei controlli di uptime. |
roles/monitoring.uptimeCheckConfigEditor Editor configurazioni controlli di uptime monitoraggio |
Concede l'accesso in lettura/scrittura alle configurazioni dei controlli di uptime. |
Ruoli di configurazione degli ambiti delle metriche
I ruoli seguenti concedono autorizzazioni generali per gli ambiti delle metriche:
Nome Titolo |
Descrizione |
---|---|
roles/monitoring.metricsScopesViewer Visualizzatore ambiti metriche di Monitoring |
Concede l'accesso di sola lettura agli ambiti delle metriche. |
roles/monitoring.metricsScopesAdmin Amministratore ambiti metriche di monitoraggio |
Concede l'accesso in lettura/scrittura agli ambiti delle metriche. |
Autorizzazioni per i ruoli predefiniti
Questa sezione elenca le autorizzazioni assegnate ai ruoli predefiniti associati a Monitoring.
Per ulteriori informazioni sui ruoli predefiniti, consulta IAM: ruoli e autorizzazioni. Per informazioni sulla scelta dei ruoli predefiniti più appropriati, consulta Scegliere i ruoli predefiniti.
Autorizzazioni per i ruoli di Monitoring
Role | Permissions |
---|---|
Monitoring Admin(
Provides the same access as the Monitoring Editor role ( Lowest-level resources where you can grant this role:
|
|
Monitoring AlertPolicy Editor( Read/write access to alerting policies. |
|
Monitoring AlertPolicy Viewer( Read-only access to alerting policies. |
|
Monitoring Cloud Console Incident Editor Beta( Read/write access to incidents from Cloud Console. |
|
Monitoring Cloud Console Incident Viewer Beta( Read access to incidents from Cloud Console. |
|
Monitoring Dashboard Configuration Editor( Read/write access to dashboard configurations. |
|
Monitoring Dashboard Configuration Viewer( Read-only access to dashboard configurations. |
|
Monitoring Editor( Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Monitoring Metric Writer( Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role:
|
|
Monitoring Metrics Scopes Admin Beta( Access to add and remove monitored projects from metrics scopes. |
|
Monitoring Metrics Scopes Viewer Beta( Read-only access to metrics scopes and their monitored projects. |
|
Monitoring NotificationChannel Editor Beta( Read/write access to notification channels. |
|
Monitoring NotificationChannel Viewer Beta( Read-only access to notification channels. |
|
Monitoring Services Editor( Read/write access to services. |
|
Monitoring Services Viewer( Read-only access to services. |
|
Monitoring Snooze Editor(
|
|
Monitoring Snooze Viewer(
|
|
Monitoring Uptime Check Configuration Editor Beta( Read/write access to uptime check configurations. |
|
Monitoring Uptime Check Configuration Viewer Beta( Read-only access to uptime check configurations. |
|
Monitoring Viewer( Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Autorizzazioni per i ruoli di Ops Config Monitoring
Role | Permissions |
---|---|
Ops Config Monitoring Resource Metadata Viewer Beta( Read-only access to resource metadata. |
|
Ops Config Monitoring Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata. |
|
Autorizzazioni per i ruoli di Stackdriver
Role | Permissions |
---|---|
Stackdriver Accounts Editor( Read/write access to manage Stackdriver account structure. |
|
Stackdriver Accounts Viewer( Read-only access to get and list information about Stackdriver account structure. |
|
Stackdriver Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata. |
|
Autorizzazioni di monitoraggio incluse nei ruoli Google Cloud
I ruoli di Google Cloud includono le seguenti autorizzazioni:
Nome Titolo |
Include le autorizzazioni |
---|---|
roles/viewer Visualizzatore |
Le autorizzazioni di Monitoring sono le stesse
di roles/monitoring.viewer .
|
roles/editor Editor |
Le autorizzazioni di Monitoring sono le stesse di
Questo ruolo non concede l'autorizzazione per modificare un ambito delle metriche.
Per modificare un ambito delle metriche quando utilizzi l'API, il tuo ruolo deve includere l'autorizzazione |
roles/owner Proprietario |
Le autorizzazioni di Monitoring sono le stesse di
roles/monitoring.admin .
|
Ruoli personalizzati
Ti consigliamo di creare un ruolo personalizzato quando vuoi concedere a un'entità un insieme più limitato di autorizzazioni rispetto a quelle concesse con i ruoli predefiniti.
Ad esempio, se configuri Assured Workloads perché hai requisiti di residenza dei dati o Impact Level 4 (IL4), non devi utilizzare i controlli di uptime perché non vi è alcuna garanzia che i dati dei controlli di uptime vengano conservati in una posizione geografica specifica.
Per impedire l'utilizzo dei controlli di uptime, crea un ruolo che non includa autorizzazioni con il prefisso monitoring.uptimeCheckConfigs
.
Per creare un ruolo personalizzato con autorizzazioni di Monitoring, segui questi passaggi:
Per un ruolo che concede autorizzazioni solo per l'API Monitoring, scegli tra le autorizzazioni nella sezione Autorizzazioni e ruoli predefiniti.
Per un ruolo che concede autorizzazioni per Monitoring nella console Google Cloud, scegli tra i gruppi di autorizzazioni nella sezione Ruoli di Monitoring.
Per concedere la possibilità di scrivere dati di monitoraggio, includi le autorizzazioni del ruolo
roles/monitoring.metricWriter
nella sezione Autorizzazione e ruoli predefiniti.
Per ulteriori informazioni sui ruoli personalizzati, consulta Informazioni sui ruoli personalizzati IAM.
Ambiti di accesso a Compute Engine
Gli ambiti di accesso sono il metodo legacy per specificare le autorizzazioni per le tue istanze VM di Compute Engine. I seguenti ambiti di accesso si applicano a Monitoring:
Ambito dell'accesso | Autorizzazioni concesse |
---|---|
https://www.googleapis.com/auth/monitoring.read | Stesse autorizzazioni di roles/monitoring.viewer . |
https://www.googleapis.com/auth/monitoring.write | Stesse autorizzazioni di roles/monitoring.metricWriter . |
https://www.googleapis.com/auth/monitoring | Accesso completo a Monitoring. |
https://www.googleapis.com/auth/cloud-platform | Accesso completo a tutte le API Cloud abilitate. |
Per maggiori dettagli, vai ad Ambiti di accesso.
Best practice. È consigliabile assegnare alle istanze VM l'ambito di accesso più potente (cloud-platform
) e poi utilizzare i ruoli IAM per limitare l'accesso a specifiche API e operazioni. Per maggiori dettagli, vedi Autorizzazioni dell'account di servizio.