In diesem Dokument werden die von Cloud Monitoring verwendeten IAM-Rollen (Identity and Access Management) beschrieben. Sie ist für Administratoren gedacht, die Rollen und Berechtigungen konfigurieren und zuweisen.
VPC Service Controls
Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.
VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.
Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.
Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.
Monitoring IAM – Übersicht
Zur Verwendung von Monitoring benötigen Sie die entsprechenden IAM-Berechtigungen.
Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Sie müssen die jeweilige Berechtigung haben, damit Sie die entsprechende Methode verwenden können. Berechtigungen werden Nutzern nicht direkt gewährt, sondern indirekt über Rollen. In Rollen sind mehrere Berechtigungen zusammengefasst, was die Verwaltung vereinfacht. Weitere Informationen zu diesen Konzepten finden Sie unter Konzepte der Zugriffsverwaltung.
Rollen für gängige Kombinationen von Berechtigungen sind für Sie vordefiniert. Sie können jedoch auch eigene Kombinationen von Berechtigungen erstellen. Dazu erstellen Sie benutzerdefinierte IAM-Rollen.
Vordefinierte Rollen
Die folgenden IAM-Rollen sind von Cloud Monitoring vordefiniert. Durch sie werden nur Berechtigungen für Monitoring gewährt.
Monitoring
Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.viewer Monitoring-Betrachter |
Gewährt Lesezugriff auf Monitoring in der Google Cloud Console und in der API. |
roles/monitoring.editor Monitoring-Bearbeiter |
Gewährt Lese-/Schreibzugriff auf Monitoring in der Google Cloud Console und in der API und gewährt Lese-/Schreibzugriff auf einen Messwertbereich, wenn Sie die Google Cloud Console verwenden. Schreibzugriff auf einen Messwertbereich gewährt die Berechtigung zum Hinzufügen oder Entfernen von überwachten Google Cloud-Projekten für diesen Messwertbereich. |
roles/monitoring.admin Monitoring-Administrator |
Gewährt vollständigen Zugriff auf Monitoring in der Google Cloud Console und der API, mit Lese-/Schreibzugriff auf einen Messwertbereich. Schreibzugriff auf einen Messwertbereich gewährt die Berechtigung zum Hinzufügen oder Entfernen von überwachten Google Cloud-Projekten für diesen Messwertbereich. |
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.metricWriter Monitoring-Messwert-Autor |
Ermöglicht das Schreiben von Monitoringdaten in einen Messwertbereich. Erlaubt keinen Zugriff auf Monitoring in der Google Cloud Console. Diese Rolle ist für Dienstkonten und Agents bestimmt. |
Benachrichtigungsrichtlinien
Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungsrichtlinien gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.alertPolicyViewer Betrachter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lesezugriff auf Benachrichtigungsrichtlinien. |
roles/monitoring.alertPolicyEditor Bearbeiter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lese-/Schreibzugriff auf Benachrichtigungsrichtlinien. |
Dashboards
Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.dashboardViewer Betrachter von Monitoring-Dashboard-Konfigurationen |
Gewährt Lesezugriff auf Dashboardkonfigurationen. |
roles/monitoring.dashboardEditor Bearbeiter der Monitoring-Dashboard-Konfiguration |
Gewährt Lese-/Schreibzugriff auf Dashboardkonfigurationen. |
Vorfälle
Die folgenden Rollen gewähren allgemeine Berechtigungen zum Ansehen von Vorfällen:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.viewer Monitoring-Betrachter |
Gewährt Zugriff zum Ansehen von Vorfällen. |
roles/monitoring.editor Monitoring-Bearbeiter |
Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen. |
roles/monitoring.admin Monitoring-Administrator |
Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen. |
Zum Aufrufen der Details eines Vorfalls benötigen Sie mindestens die Identity and Access Management-Rolle von roles/monitoring.viewer
.
Weitere Informationen finden Sie unter Details zu Vorfällen können aufgrund eines Berechtigungsfehlers nicht angezeigt werden.
Benachrichtigungskanäle
Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.notificationChannelViewer Betrachter von Monitoring-Benachrichtigungskanälen |
Gewährt Lesezugriff auf Benachrichtigungskanäle. |
roles/monitoring.notificationChannelEditor Bearbeiter von Monitoring-Benachrichtigungskanälen |
Gewährt Lese-/Schreibzugriff auf Benachrichtigungskanäle. |
Dienstmonitoring
Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.servicesViewer Betrachter von Monitoring-Diensten |
Gewährt Lesezugriff auf Dienste. |
roles/monitoring.servicesEditor Bearbeiter von Monitoring-Diensten |
Gewährt Lese-/Schreibzugriff auf Dienste. |
Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.
Verfügbarkeitsdiagnosen-Konfigurationen
Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.uptimeCheckConfigViewer Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lesezugriff auf Verfügbarkeitsdiagnosen-Konfigurationen. |
roles/monitoring.uptimeCheckConfigEditor Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosen-Konfigurationen. |
Konfigurationen für Messwertbereich
Die folgenden Rollen gewähren allgemeine Berechtigungen für Messwertbereiche:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.metricsScopesViewer Betrachter von Monitoring-Messwertbereichen |
Gewährt Lesezugriff auf Messwertbereiche. |
roles/monitoring.metricsScopesAdmin Administrator von Monitoring-Messwertbereichen |
Gewährt Lese-/Schreibzugriff auf Messwertbereiche. |
Google Cloud
Durch die folgenden Rollen werden Berechtigungen für viele Dienste und Ressourcen in der Google Cloud gewährt, einschließlich Monitoring:
Name Titel |
Berechtigungen |
---|---|
roles/viewer Betrachter |
Die Monitoring-Berechtigungen sind genau die Berechtigungen in roles/monitoring.viewer .
|
roles/editor Bearbeiter |
Die Monitoring-Berechtigungen sind dieselben wie in Diese Rolle gewährt keine Berechtigung zum Ändern eines Messwertbereichs.
Zum Ändern eines Messwertbereichs bei Verwendung der API muss Ihre Rolle die Berechtigung |
roles/owner Inhaber |
Die Monitoring-Berechtigungen sind dieselben wie die in roles/monitoring.admin .
|
Benutzerdefinierte Rollen
Sie können auch eigene, benutzerdefinierte Rollen erstellen, die bestimmte Berechtigungen beinhalten. Weitere Informationen zu Rollen und Berechtigungen finden Sie auf dieser Seite unter Berechtigungen und Rollen und Benutzerdefinierte Rollen.
Berechtigungen und Rollen
In diesem Abschnitt werden die IAM-Berechtigungen und -Rollen für Monitoring aufgeführt.
API-Berechtigungen
Für jede Monitoring API-Methode ist eine bestimmte IAM-Berechtigung erforderlich, wie in der folgenden Tabelle angegeben.
Monitoring API-Methode | Berechtigung | Ressourcentyp |
---|---|---|
projects.alertPolicies.create |
monitoring.alertPolicies.create |
Projekt |
projects.alertPolicies.delete |
monitoring.alertPolicies.delete |
AlertPolicy |
projects.alertPolicies.get |
monitoring.alertPolicies.get |
AlertPolicy |
projects.alertPolicies.list |
monitoring.alertPolicies.list |
Projekt |
projects.alertPolicies.patch |
monitoring.alertPolicies.update |
AlertPolicy |
projects.dashboards.create |
monitoring.dashboards.create |
Projekt |
projects.dashboards.delete |
monitoring.dashboards.delete |
Projekt |
projects.dashboards.get |
monitoring.dashboards.get |
Projekt |
projects.dashboards.list |
monitoring.dashboards.list |
Projekt |
projects.dashboards.patch |
monitoring.dashboards.update |
Projekt |
projects.groups.create |
monitoring.groups.create |
Projekt |
projects.groups.delete |
monitoring.groups.delete |
Group |
projects.groups.get |
monitoring.groups.get |
Group |
projects.groups.list |
monitoring.groups.list |
Projekt |
projects.groups.update |
monitoring.groups.update |
Group |
projects.groups.members.list |
monitoring.groups.get |
Group |
projects.metricDescriptors.create |
monitoring.metricDescriptors.create |
Projekt |
projects.metricDescriptors.delete |
monitoring.metricDescriptors.delete |
MetricDescriptor |
projects.metricDescriptors.get |
monitoring.metricDescriptors.get |
MetricDescriptor |
projects.metricDescriptors.list |
monitoring.metricDescriptors.list |
Projekt |
projects.monitoredResourceDescriptors.get |
monitoring.monitoredResourceDescriptors.get |
MonitoredResourceDescriptor |
projects.monitoredResourceDescriptors.list |
monitoring.monitoredResourceDescriptors.list |
Projekt |
projects.notificationChannelDescriptors.get |
monitoring.notificationChannelDescriptors.get |
NotificationChannelDescriptor |
projects.notificationChannelDescriptors.list |
monitoring.notificationChannelDescriptors.list |
Projekt |
projects.notificationChannels.create |
monitoring.notificationChannels.create |
Projekt |
projects.notificationChannels.delete |
monitoring.notificationChannels.delete |
NotificationChannel |
projects.notificationChannels.get |
monitoring.notificationChannels.get |
NotificationChannel |
projects.notificationChannels.getVerificationCode |
monitoring.notificationChannels.getVerificationCode |
NotificationChannel |
projects.notificationChannels.list |
monitoring.notificationChannels.list |
Projekt |
projects.notificationChannels.patch |
monitoring.notificationChannels.update |
NotificationChannel |
projects.notificationChannels.sendVerificationCode |
monitoring.notificationChannels.sendVerificationCode |
NotificationChannel |
projects.notificationChannels.verify |
monitoring.notificationChannels.verify |
NotificationChannel |
projects.services.create |
monitoring.services.create |
Projekt |
projects.services.delete |
monitoring.services.delete |
Service |
projects.services.get |
monitoring.services.get |
Service |
projects.services.list |
monitoring.services.list |
Projekt |
projects.services.patch |
monitoring.services.update |
Service |
projects.services.serviceLevelObjectives.create |
monitoring.slos.create |
Projekt |
projects.services.serviceLevelObjectives.delete |
monitoring.slos.delete |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.get |
monitoring.slos.get |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.list |
monitoring.slos.list |
Projekt |
projects.services.serviceLevelObjectives.patch |
monitoring.slos.update |
ServiceLevelObjective |
projects.timeSeries.create |
monitoring.timeSeries.create |
Projekt |
projects.timeSeries.list |
monitoring.timeSeries.list |
Projekt, Ordner, Organisation |
projects.timeSeries.query |
monitoring.timeSeries.list |
Projekt |
projects.uptimeCheckConfigs.create |
monitoring.uptimeCheckConfigs.create |
UptimeCheckConfig |
projects.uptimeCheckConfigs.delete |
monitoring.uptimeCheckConfigs.delete |
UptimeCheckConfig |
projects.uptimeCheckConfigs.get |
monitoring.uptimeCheckConfigs.get |
UptimeCheckConfig |
projects.uptimeCheckConfigs.list |
monitoring.uptimeCheckConfigs.list |
UptimeCheckConfig |
projects.uptimeCheckConfigs.patch |
monitoring.uptimeCheckConfigs.update |
UptimeCheckConfig |
locations.global.metricsScopes.get |
resourcemanager.projects.get |
Projekt |
locations.global.metricsScopes/listMetricScopesByMonitoredProject |
resourcemanager.projects.get |
Projekt |
locations.global.metricsScopes.projects.create |
monitoring.metricsScopes.link |
Projekt |
locations.global.metricsScopes.projects.delete |
monitoring.metricsScopes.link |
Projekt |
Konsolenberechtigungen für Monitoring
Für jedes Monitoring in der Google Cloud Console ist die Berechtigung der API erforderlich, mit der das Feature implementiert wird. Für die Fähigkeit zum Suchen in Gruppen sind beispielsweise Berechtigungen für die Methoden list
und get
für Gruppen und Gruppenmitglieder erforderlich.
Sie können an Funktionalität einbüßen, wenn die erforderlichen Berechtigungen widerrufen werden.
In der folgenden Tabelle sind die erforderlichen Berechtigungen für das Monitoring in der Google Cloud Console aufgeführt:
Aktivität | Erforderliche Berechtigungen | Für Ressourcentyp |
---|---|---|
Lesezugriff | Die Berechtigungen, die in der Rolle roles/monitoring.viewer enthalten sind. |
project. |
Lese- und Schreibzugriff auf die Konsole | Die Berechtigungen, die in der Rolle roles/monitoring.editor enthalten sind. |
project. |
Vollständiger Zugriff auf die Konsole | Die Berechtigungen, die in der Rolle roles/monitoring.admin enthalten sind. |
project. |
Rollen
Die folgende Tabelle enthält die IAM-Rollen, die Zugriff auf Monitoring gewähren, sowie die mit der jeweiligen Rolle verknüpften Berechtigungen.
Einige dieser Rollen bauen aufeinander auf: Die Rolle roles/monitoring.editor
beinhaltet beispielsweise alle Berechtigungen der Rolle roles/monitoring.viewer
und darüber hinaus zusätzliche Berechtigungen.
Rollen können nur auf Projektebene zugewiesen werden.
Monitoring
Die Monitoring-Rollen beinhalten die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.viewer Monitoring-Betrachter |
cloudnotifications.activities.list monitoring.alertPolicies.get monitoring.alertPolicies.list monitoring.dashboards.get monitoring.dashboards.list monitoring.groups.get monitoring.groups.list monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.list monitoring.notificationChannels.get monitoring.notificationChannels.list monitoring.publicWidgets.get monitoring.publicWidgets.list monitoring.services.get monitoring.services.list monitoring.slos.get monitoring.slos.list monitoring.timeSeries.list monitoring.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.list opsconfigmonitoring.resourceMetadata.list resourcemanager.projects.get resourcemanager.projects.list stackdriver.projects.get
|
roles/monitoring.editor Monitoring-Bearbeiter |
cloudnotifications.activities.list monitoring.alertPolicies.create monitoring.alertPolicies.delete monitoring.alertPolicies.get monitoring.alertPolicies.list monitoring.alertPolicies.update monitoring.dashboards.create monitoring.dashboards.delete monitoring.dashboards.get monitoring.dashboards.list monitoring.dashboards.update monitoring.groups.create monitoring.groups.delete monitoring.groups.get monitoring.groups.list monitoring.groups.update monitoring.metricDescriptors.create monitoring.metricDescriptors.delete monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.notificationChannelDescriptors.list monitoring.notificationChannelDescriptors.get monitoring.notificationChannels.create monitoring.notificationChannels.delete monitoring.notificationChannels.get monitoring.notificationChannels.list monitoring.notificationChannels.sendVerificationCode monitoring.notificationChannels.update monitoring.notificationChannels.verify monitoring.publicWidgets.create monitoring.publicWidgets.delete monitoring.publicWidgets.get monitoring.publicWidgets.list monitoring.publicWidgets.update monitoring.services.create monitoring.services.delete monitoring.services.get monitoring.services.list monitoring.services.update monitoring.slos.create monitoring.slos.delete monitoring.slos.get monitoring.slos.list monitoring.slos.update monitoring.timeSeries.create monitoring.timeSeries.list monitoring.uptimeCheckConfigs.create monitoring.uptimeCheckConfigs.delete monitoring.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.list monitoring.uptimeCheckConfigs.update opsconfigmonitoring.resourceMetadata.write opsconfigmonitoring.resourceSnapshot.create resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable stackdriver.projects.edit stackdriver.projects.get stackdriver.resourceMetadata.write
|
roles/monitoring.admin Monitoring-Administrator |
Die Berechtigungen in roles/monitoring.editor sowie die folgenden:monitoring.notificationChannels.getVerificationCode monitoring.metricsScopes.link |
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.metricWriter Autor des Monitoringmesswerts |
monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.timeSeries.create
|
Benachrichtigungsrichtlinien
Die Benachrichtigungsrichtlinien-Rollen beinhalten die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.alertPolicyViewer Betrachter von Monitoring-Benachrichtigungsrichtlinien |
monitoring.alertPolicies.get monitoring.alertPolicies.list |
roles/monitoring.alertPolicyEditor Editor für Monitoring-Benachrichtigungsrichtlinien |
monitoring.alertPolicies.create monitoring.alertPolicies.delete monitoring.alertPolicies.get monitoring.alertPolicies.list monitoring.alertPolicies.update |
Dashboards
Die Dashboard-Rollen beinhalten die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.dashboardViewer Monitoring-Dashboard-Konfigurationsbetrachter |
monitoring.dashboards.get monitoring.dashboards.list |
roles/monitoring.dashboardEditor Monitoring-Konfigurationsbearbeiter |
monitoring.dashboards.get monitoring.dashboards.list monitoring.dashboards.create monitoring.dashboards.delete monitoring.dashboards.update |
Benachrichtigungskanäle
Die Benachrichtigungskanal-Rollen beinhalten die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.notificationChannelViewer Monitoring-Benachrichtigungskanal-Betrachter |
monitoring.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.list monitoring.notificationChannels.get monitoring.notificationChannels.list |
roles/monitoring.notificationChannelEditor Editor für Monitoring-Benachrichtigungskanäle |
monitoring.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.list monitoring.notificationChannels.create monitoring.notificationChannels.delete monitoring.notificationChannels.get monitoring.notificationChannels.list monitoring.notificationChannels.sendVerificationCode monitoring.notificationChannels.update monitoring.notificationChannels.verify |
Dienstmonitoring
Die Rollen für Dienst-Monitoring beinhalten die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.servicesViewer Betrachter von Monitoring-Diensten |
monitoring.services.get monitoring.services.list monitoring.slos.get monitoring.slos.list |
roles/monitoring.servicesEditor Bearbeiter von Monitoring-Diensten |
monitoring.services.create monitoring.services.delete monitoring.services.get monitoring.services.list monitoring.services.update monitoring.slos.create monitoring.slos.delete monitoring.slos.get monitoring.slos.list monitoring.slos.update |
Verfügbarkeitsdiagnosen-Konfigurationen
Die Rollen für Verfügbarkeitsdiagnosen-Konfigurationen beinhalten die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.uptimeCheckConfigViewer Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
monitoring.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.list |
roles/monitoring.uptimeCheckConfigEditor Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
monitoring.uptimeCheckConfigs.create monitoring.uptimeCheckConfigs.delete monitoring.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.list monitoring.uptimeCheckConfigs.update |
Konfiguration von Messwertbereichen
Die Konfigurationsrollen für den Messwertbereich umfassen die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.metricsScopesViewer Betrachter von Monitoringmesswerten |
resourcemanager.projects.get resourcemanager.projects.list |
roles/monitoring.metricsScopesAdmin Monitoring-Messwertbereiche als Administrator Überwachte Projekte hinzufügen und entfernen |
resourcemanager.projects.get resourcemanager.projects.list monitoring.metricsScopes.link |
Google Cloud
Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/viewer Betrachter |
Die Monitoring-Berechtigungen sind genau die Berechtigungen in roles/monitoring.viewer .
|
roles/editor Bearbeiter |
Die Monitoring-Berechtigungen sind dieselben wie in Diese Rolle gewährt keine Berechtigung zum Ändern eines Messwertbereichs.
Zum Ändern eines Messwertbereichs bei Verwendung der API muss Ihre Rolle die Berechtigung |
roles/owner Inhaber |
Die Monitoring-Berechtigungen sind dieselben wie die in roles/monitoring.admin .
|
IAM-Rollen zuweisen
Die Projektinhaber, Bearbeiter und Standarddienstkonten für Compute Engine und App Engine haben bereits die erforderlichen Berechtigungen. Bei anderen Nutzerkonten kann es jedoch erforderlich sein, diese Rollen explizit zuzuweisen.
Damit über ein Nutzerkonto beispielsweise mithilfe der Monitoring API Messwertdeskriptoren gelesen oder geschrieben werden können, muss der Nutzer die entsprechenden monitoring.metricDescriptors.*
-IAM-Berechtigungen haben. Sie können diese bereitstellen, indem Sie die vordefinierten Rollen Monitoring Viewer (roles/monitoring.viewer
, Monitoring-Betrachter) und Monitoring Editor (roles/monitoring.editor
, Monitoring-Bearbeiter) erteilen.
Weitere Informationen finden Sie unter API-Berechtigungen.
Diese Berechtigungen können entweder über die Google Cloud-Befehlszeile oder die Google Cloud Console (Google Cloud Console) gewährt werden.
Google Cloud CLI
Verwenden Sie den Befehl gcloud projects add-iam-policy-binding
, um die Rolle monitoring.viewer
oder monitoring.editor
zu erteilen.
Beispiel:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Mit dem Befehl gcloud projects get-iam-policy
werden die zugewiesenen Rollen bestätigt:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Google Cloud Console
Rufen Sie die Google Cloud Console auf:
Klicken Sie falls nötig auf die Drop-down-Liste der Google Cloud-Projekte und wählen Sie den Namen des Projekts aus, für das Sie die API aktivieren möchten.
Klicken Sie auf Menüarrow_drop_down, um das Navigationsmenü zu maximieren.
Klicken Sie auf IAM & Verwaltung.
Wenn der Nutzer Mitglied ist, klicken Sie auf Bearbeiten edit, um seine Berechtigungen zu ändern. Sie können die vorhandene Rolle ändern oder eine zusätzliche Rolle hinzufügen. Um die Änderungen zu speichern, klicken Sie auf Speichern.
Wenn der Nutzer kein Mitglied ist, gehen Sie so vor:
- Klicken Sie auf Add (Hinzufügen).
- Geben Sie in das Feld Neue Mitglieder den Nutzernamen ein.
- Klicken Sie in Rolle auswählen auf Menü arrow_drop_down.
- Gib in der Filterleiste filter_list die passende Rolle ein:
- Monitoring Editor (Monitoring-Bearbeiter) gewährt Lese- und Schreibzugriff.
- Monitoring Viewer (Monitoring-Betrachter) gewährt nur Lesezugriff.
Benutzerdefinierte Rollen
So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:
Wählen Sie für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, eine der Berechtigungen aus dem Abschnitt API-Berechtigungen aus.
Wählen Sie für eine Rolle, die in der Google Cloud Console Berechtigungen für Monitoring gewährt, eine der Berechtigungsgruppen im Abschnitt Konsolenberechtigungen für Monitoring aus.
Beziehen Sie für eine Rolle, mit der Monitoring-Daten geschrieben werden können, die Berechtigungen der Rolle
roles/monitoring.metricWriter
aus dem Abschnitt Rollen ein.
Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.
Zugriffsbereiche für Compute Engine
Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:
Zugriffsbereich | Gewährte Berechtigungen |
---|---|
https://www.googleapis.com/auth/monitoring.read | Die gleichen Berechtigungen wie in roles/monitoring.viewer . |
https://www.googleapis.com/auth/monitoring.write | Die gleichen Berechtigungen wie in roles/monitoring.metricWriter . |
https://www.googleapis.com/auth/monitoring | Vollzugriff auf Monitoring |
https://www.googleapis.com/auth/cloud-platform | Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs |
Weitere Informationen finden Sie unter Zugriffsbereiche.
Best Practice: Da Dienstkonto-IAM-Rollen leicht zu konfigurieren und zu ändern sind, empfiehlt es sich, Ihren VM-Instanzen den umfassendsten Zugriffsbereich (cloud-platform
) zu geben und dann über IAM-Rollen den Zugriff auf bestimmte APIs und Vorgänge. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.