Für die Verwendung von Monitoring benötigen Sie die entsprechenden Berechtigungen zur Identitäts- und Zugriffsverwaltung (IAM) Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Wenn Sie die Methode oder eine Console-Funktion verwenden möchten, die auf der Methode basiert, benötigen Sie die Berechtigung zur Verwendung der entsprechenden Methode. Berechtigungen werden Nutzern nicht direkt gewährt, sondern indirekt über Rollen. In Rollen sind mehrere Berechtigungen zusammengefasst, was die Verwaltung vereinfacht:
- Informationen zur Zugriffssteuerung finden Sie unter Konzepte in Verbindung mit der Zugriffsverwaltung.
- Informationen zum Zuweisen von Rollen für Hauptkonten finden Sie unter Zugriff auf Cloud Monitoring gewähren.
Rollen für gängige Berechtigungskombinationen sind für Sie vordefiniert. Sie können jedoch können Sie auch eigene Kombinationen von Berechtigungen erstellen, Erstellen von benutzerdefinierten IAM-Rollen
Best Practice
Wir empfehlen Ihnen, Google-Gruppen zu erstellen, um den Zugriff auf Google Cloud-Projekte:
- Weitere Informationen finden Sie unter Gruppen in der Google Cloud Console verwalten
- Informationen zum Festlegen von Beschränkungen für Rollen finden Sie unter Limits für das Gewähren von Rollen festlegen
- Eine vollständige Liste der IAM-Rollen und ‑Berechtigungen finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen.
VPC Service Controls
Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.
VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.
Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.
Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.
Zugriff auf Cloud Monitoring gewähren
Sie können IAM-Rollen für Principals über die Seite „Identität und Zugriffsverwaltung“ in der Google Cloud Console oder über die Google Cloud CLI verwalten. Cloud Monitoring bietet jedoch eine vereinfachte Benutzeroberfläche, mit der Sie Monitoring-spezifische Rollen, Rollen auf Projektebene und die gängigen Rollen für Cloud Logging und Cloud Trace verwalten können.
Um Hauptkonten Zugriff auf Monitoring, Cloud Logging, oder Cloud Trace ausführen oder eine Rolle auf Projektebene zuweisen, gehen Sie so vor:
Console
-
Rufen Sie in der Google Cloud Console die Seite
Berechtigungen auf:Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Auf der Seite Berechtigungen werden nicht alle Hauptkonten angezeigt. Es werden nur die Hauptkonten, die eine Rolle auf Projektebene haben, oder eine Rolle, für Monitoring, Logging oder Nachverfolgen.
Mit den Optionen auf dieser Seite können Sie alle Hauptkonten aufrufen, deren Rollen Monitoring-Berechtigung.
Klicken Sie auf
Zugriff erlauben.Klicken Sie auf Neue Hauptkonten und geben Sie den Nutzernamen für das Hauptkonto ein. Sie können mehrere Hauptkonten hinzufügen.
Maximieren Sie arrow_drop_down Rolle auswählen, wählen Sie einen Wert aus dem Menü Nach Produkt oder Dienst und dann eine Rolle aus dem Menü Rollen aus:
Auswahl für Produkt oder Dienstleistung Auswahl Rollen Beschreibung Monitoring Monitoring-Betrachter Monitoring-Daten und Konfigurationsinformationen ansehen. Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien aufrufen. Monitoring Monitoring-Editor Monitoring-Daten ansehen und Konfigurationen erstellen und bearbeiten. So können sie beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien erstellen. Monitoring Monitoring-Administrator Sie können Monitoring-Daten aufrufen, Konfigurationen erstellen und bearbeiten sowie den Messwertumfang ändern. Cloud Trace Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen Cloud Trace Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole, Lese-/Schreibzugriff auf Traces, und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen. Logging Loganzeige Zugriff auf Protokolle Weitere Informationen finden Sie unter Logging-Rollen: Logging Logging-Administrator Vollständiger Zugriff auf alle Features von Cloud Logging. Weitere Informationen finden Sie unter Rollen für die Protokollierung. Projekt Betrachter Lesezugriff auf die meisten Google Cloud-Ressourcen. Projekt Bearbeiter Kann die meisten Google Cloud-Ressourcen ansehen, erstellen, aktualisieren und löschen. Projekt Inhaber Vollständiger Zugriff auf die meisten Google Cloud-Ressourcen. Optional: Wenn Sie denselben Hauptkonten eine weitere Rolle zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und wiederholen Sie den vorherigen Schritt.
Klicken Sie auf Speichern.
In den vorherigen Schritten wurde beschrieben, wie einem Hauptkonto bestimmte Rollen mithilfe von Monitoringseiten in der Google Cloud Console Für diese Rollen können Sie auf dieser Seite auch Bearbeitungs- und Löschoptionen nutzen:
So entfernen Sie Rollen für ein Hauptkonto: klicken Sie auf das Kästchen neben dem Hauptkonto und dann auf
Zugriffsrechte entfernenSo bearbeiten Sie die Rollen für ein Hauptkonto: Klicken Sie auf edit Bearbeiten. Nachdem Sie die Einstellungen aktualisiert haben, Klicken Sie auf Speichern.
gcloud
Verwenden Sie den Befehl gcloud projects add-iam-policy-binding
, um die Rolle monitoring.viewer
oder monitoring.editor
zu erteilen.
Beispiel:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Mit dem Befehl gcloud projects get-iam-policy
werden die zugewiesenen Rollen bestätigt:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Vordefinierte Rollen
In diesem Abschnitt wird eine Teilmenge der IAM-Rollen aufgeführt, die von Cloud Monitoring vordefiniert sind.
Monitoring-Rollen
Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:
Name Titel |
Berechtigungen |
---|---|
roles/monitoring.viewer Monitoring-Betrachter |
Ermöglicht Lesezugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API. |
roles/monitoring.editor Monitoring-Bearbeiter |
Ermöglicht Lese- und Schreibzugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API. |
roles/monitoring.admin Monitoring-Administrator |
Gewährt vollständigen Zugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API. |
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.metricWriter Monitoring-Messwert-Autor |
Diese Rolle ist für Dienstkonten und Agents vorgesehen. |
Rollen für Benachrichtigungsrichtlinien
Durch die folgenden Rollen werden Berechtigungen für Benachrichtigungsrichtlinien gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.alertPolicyViewer Betrachter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lesezugriff auf Benachrichtigungsrichtlinien. |
roles/monitoring.alertPolicyEditor Bearbeiter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lese- und Schreibzugriff auf Benachrichtigungsrichtlinien. |
Dashboardrollen
Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.dashboardViewer Betrachter von Monitoring-Dashboard-Konfigurationen |
Gewährt Lesezugriff auf Dashboard-Konfigurationen. |
roles/monitoring.dashboardEditor Bearbeiter der Monitoring-Dashboard-Konfiguration |
Gewährt Lese-/Schreibzugriff auf Dashboard-Konfigurationen. |
Vorfallrollen
Durch die folgenden Rollen werden Berechtigungen nur für Vorfälle gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.cloudConsoleIncidentViewer Betrachter von Monitoring Cloud Console-Vorfällen |
Gewährt Zugriff zum Ansehen von Vorfällen über die Google Cloud Console. |
roles/monitoring.cloudConsoleIncidentEditor Monitoring Cloud Console Incident Editor |
Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen über die Google Cloud Console. |
Informationen zum Beheben von IAM-Berechtigungsfehlern beim Vorfälle ansehen, siehe Vorfalldetails können aufgrund eines Berechtigungsfehlers nicht aufgerufen werden.
Rollen für Benachrichtigungskanäle
Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.notificationChannelViewer Betrachter von Monitoring-Benachrichtigungskanälen |
Gewährt Lesezugriff auf Benachrichtigungskanäle. |
roles/monitoring.notificationChannelEditor Bearbeiter von Monitoring-Benachrichtigungskanälen |
Gewährt Lese-/Schreibzugriff auf Benachrichtigungskanäle. |
Benachrichtigungsrollen deaktivieren
Durch die folgenden Rollen werden Berechtigungen zum Pausieren von Benachrichtigungen gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.snoozeViewer Monitoring Snooze Viewer |
Gewährt Lesezugriff auf Schlummerfunktionen. |
roles/monitoring.snoozeEditor Monitoring Snooze Editor |
Gewährt Lese-/Schreibzugriff auf Schlummerfunktionen. |
Rollen für die Dienstüberwachung
Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.servicesViewer Betrachter von Monitoring-Diensten |
Gewährt Lesezugriff auf Dienste. |
roles/monitoring.servicesEditor Bearbeiter von Monitoring-Diensten |
Gewährt Lese- und Schreibzugriff auf Dienste. |
Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.
Verfügbarkeitsdiagnose-Konfigurationsrollen
Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.uptimeCheckConfigViewer Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lesezugriff auf Verfügbarkeitsdiagnosen-Konfigurationen. |
roles/monitoring.uptimeCheckConfigEditor Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosekonfigurationen. |
Konfigurationsrollen für Messwertbereiche
Durch die folgenden Rollen werden allgemeine Berechtigungen für Messwertbereiche:
Name Titel |
Beschreibung |
---|---|
roles/monitoring.metricsScopesViewer Betrachter von Monitoring-Messwertbereichen |
Gewährt Lesezugriff auf Messwertbereiche. |
roles/monitoring.metricsScopesAdmin Administrator von Monitoring-Messwertbereichen |
Gewährt Lese-/Schreibzugriff auf Messwertbereiche. |
Berechtigungen für vordefinierte Rollen
In diesem Abschnitt sind die Berechtigungen aufgeführt, die vordefinierten Rollen zugewiesen sind, die mit Monitoring verknüpft sind.
Weitere Informationen zu vordefinierten Rollen finden Sie unter IAM: Rollen und Berechtigungen. Informationen zur Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.
Berechtigungen für Monitoring-Rollen
Role | Permissions |
---|---|
Monitoring Admin( Provides full access to Cloud Monitoring. Lowest-level resources where you can grant this role:
|
|
Monitoring AlertPolicy Editor( Read/write access to alerting policies. |
|
Monitoring AlertPolicy Viewer( Read-only access to alerting policies. |
|
Monitoring Cloud Console Incident Editor Beta( Read/write access to incidents from Cloud Console. |
|
Monitoring Cloud Console Incident Viewer Beta( Read access to incidents from Cloud Console. |
|
Monitoring Dashboard Configuration Editor( Read/write access to dashboard configurations. |
|
Monitoring Dashboard Configuration Viewer( Read-only access to dashboard configurations. |
|
Monitoring Editor( Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Monitoring Metric Writer( Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role:
|
|
Monitoring Metrics Scopes Admin Beta( Access to add and remove monitored projects from metrics scopes. |
|
Monitoring Metrics Scopes Viewer Beta( Read-only access to metrics scopes and their monitored projects. |
|
Monitoring NotificationChannel Editor Beta( Read/write access to notification channels. |
|
Monitoring NotificationChannel Viewer Beta( Read-only access to notification channels. |
|
Monitoring Services Editor( Read/write access to services. |
|
Monitoring Services Viewer( Read-only access to services. |
|
Monitoring Snooze Editor(
|
|
Monitoring Snooze Viewer(
|
|
Monitoring Uptime Check Configuration Editor Beta( Read/write access to uptime check configurations. |
|
Monitoring Uptime Check Configuration Viewer Beta( Read-only access to uptime check configurations. |
|
Monitoring Viewer( Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
|
Berechtigungen für Ops Config Monitoring-Rollen
Role | Permissions |
---|---|
Ops Config Monitoring Resource Metadata Viewer Beta( Read-only access to resource metadata. |
|
Ops Config Monitoring Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata. |
|
Berechtigungen für Stackdriver-Rollen
Role | Permissions |
---|---|
Stackdriver Accounts Editor( Read/write access to manage Stackdriver account structure. |
|
Stackdriver Accounts Viewer( Read-only access to get and list information about Stackdriver account structure. |
|
Stackdriver Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata. |
|
Monitoring-Berechtigungen in Google Cloud-Rollen
Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:
Name Titel |
Berechtigungen |
---|---|
roles/viewer Betrachter |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer . |
roles/editor Bearbeiter |
Die Monitoring-Berechtigungen sind mit Ausnahme der Berechtigung Diese Rolle gewährt keine Berechtigung zum Ändern des Gültigkeitsbereichs von Messwerten.
Wenn Sie bei der Verwendung der API den Gültigkeitsbereich von Messwerten ändern möchten, muss Ihre Rolle die Berechtigung |
roles/owner Inhaber |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin .
|
Benutzerdefinierte Rollen
Sie können eine benutzerdefinierte Rolle erstellen, wenn Sie einem Hauptkonto eine eingeschränktere Berechtigung gewähren möchten als die, die mit vordefinierten Rollen gewährt werden.
Beispiel: Sie richten Assured Workloads ein.
weil Sie eine Datenresidenz oder
Anforderungen an Impact Level 4 (IL4)
sollten Sie nicht
Verfügbarkeitsdiagnosen, da es
keine Garantie dafür, dass die Verfügbarkeitsdiagnosen-Daten an einem bestimmten geografischen Standort gespeichert werden.
Wenn Sie die Verwendung von Verfügbarkeitsdiagnosen verhindern möchten, erstellen Sie eine Rolle, die keine Berechtigungen mit dem Präfix monitoring.uptimeCheckConfigs
enthält.
So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:
Wählen Sie für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, eine der Berechtigungen aus dem Abschnitt Berechtigungen und vordefinierte Rollen aus.
Für eine Rolle, die Berechtigungen für Monitoring in der Google Cloud Console, wählen Sie in der Monitoring-Rollen.
Beziehen Sie für eine Rolle, mit der Monitoring-Daten geschrieben werden können, die Berechtigungen der Rolle
roles/monitoring.metricWriter
aus dem Abschnitt Berechtigungen und vordefinierte Rollen ein.
Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.
Zugriffsbereiche für Compute Engine
Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:
Zugriffsbereich | Gewährte Berechtigungen |
---|---|
https://www.googleapis.com/auth/monitoring.read | Die gleichen Berechtigungen wie in roles/monitoring.viewer . |
https://www.googleapis.com/auth/monitoring.write | Die gleichen Berechtigungen wie in roles/monitoring.metricWriter . |
https://www.googleapis.com/auth/monitoring | Vollzugriff auf Monitoring |
https://www.googleapis.com/auth/cloud-platform | Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs |
Weitere Informationen finden Sie unter Zugriffsbereiche.
Best Practice: Es empfiehlt sich, Ihren VM-Instanzen den umfassendsten Zugriffsbereich (cloud-platform
) zu geben und dann über IAM-Rollen den Zugriff auf bestimmte APIs und Vorgänge einzuschränken. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.