Zugriffssteuerung mit IAM

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

In diesem Dokument werden die von Cloud Monitoring verwendeten IAM-Rollen (Identity and Access Management) beschrieben. Es richtet sich an Administratoren, die Rollen und Berechtigungen konfigurieren und zuweisen.

Best Practice

Wir empfehlen, Google-Gruppen zu erstellen, um den Zugriff auf Cloud-Projekte zu verwalten:

VPC Service Controls

Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.

VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.

Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.

Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.

Zugriff auf Cloud Monitoring gewähren

Zum Verwalten von IAM-Rollen für Hauptkonten können Sie die Seite „Identitäts- und Zugriffsverwaltung“ in der Google Cloud Console verwenden. Cloud Monitoring bietet jedoch eine vereinfachte Benutzeroberfläche, mit der Sie Ihre Monitoring-spezifischen Rollen, Projektebene und Rollen sowie die allgemeinen Rollen für Cloud Logging und Cloud Trace verwalten können.

So gewähren Sie Hauptkonten Zugriff auf Monitoring, Cloud Logging oder Cloud Trace oder eine Rolle auf Projektebene:

  1. Wählen Sie in der Google Cloud Console Monitoring aus oder klicken Sie auf die folgende Schaltfläche:
    Zu Monitoring
  2. Wählen Sie im Navigationsbereich Berechtigungen aus.

    Auf der Seite Berechtigungen werden nicht alle Hauptkonten angezeigt. Es werden nur die Hauptkonten aufgelistet, die eine Rolle auf Projektebene oder eine spezielle Rolle für Monitoring, Logging oder Trace haben.

    Mit den Optionen auf dieser Seite können Sie alle Hauptkonten ansehen, deren Rollen eine beliebige Monitoring-Berechtigung enthalten.

  3. Klicken Sie auf Zugriff erlauben.

  4. Klicken Sie auf Neue Hauptkonten und geben Sie den Nutzernamen für das Hauptkonto ein. Sie können mehrere Hauptkonten hinzufügen.

  5. Maximieren Sie Rolle auswählen, wählen Sie einen Wert aus dem Menü Nach Produkt oder Dienst aus und wählen Sie dann eine Rolle aus dem Menü Rollen aus:

    Auswahl nach Produkt oder Dienstleistung Auswahl von Rollen Beschreibung
    Monitoring Monitoring-Betrachter Monitoring-Daten und Konfigurationsinformationen aufrufen. Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien aufrufen.
    Monitoring Monitoring-Editor Monitoring-Daten ansehen und Konfigurationen erstellen und bearbeiten. Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien erstellen.
    Monitoring Monitoring-Administrator Monitoring-Daten ansehen, Konfigurationen erstellen und bearbeiten und den Messwertbereich ändern
    Cloud Trace Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen.
    Cloud Trace Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole, Lese-/Schreibzugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen.
    Logging Loganzeige Lesezugriff auf Logs. Weitere Informationen finden Sie unter Logging-Rollen.
    Logging Logging-Administrator Vollständiger Zugriff auf alle Features von Cloud Logging. Weitere Informationen finden Sie unter Logging-Rollen.
    Projekt Betrachter Lesezugriff auf die meisten Google Cloud-Ressourcen.
    Projekt Bearbeiter Kann die meisten Google Cloud-Ressourcen ansehen, erstellen, aktualisieren und löschen.
    Projekt Inhaber Vollständiger Zugriff auf die meisten Google Cloud-Ressourcen.
  6. Optional: Wenn Sie demselben Hauptkonto eine weitere Rolle zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und wiederholen Sie den vorherigen Schritt.

  7. Klicken Sie auf Speichern.

In den vorherigen Schritten wird beschrieben, wie Sie einem Hauptkonto mithilfe von Monitoring-Seiten in der Google Cloud Console bestimmte Rollen zuweisen. Für diese Rollen unterstützt diese Seite auch die Optionen zum Bearbeiten und Löschen:

  • Wenn Sie Rollen für ein Hauptkonto entfernen möchten, klicken Sie auf das Kästchen neben dem Hauptkonto und dann auf Zugriffsrechte entfernen.

  • Klicken Sie zum Bearbeiten der Rollen für ein Hauptkonto auf Bearbeiten. Nachdem Sie die Einstellungen aktualisiert haben, klicken Sie auf Speichern.

Monitoring IAM – Übersicht

Zur Verwendung von Monitoring benötigen Sie die entsprechenden IAM-Berechtigungen.

Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Sie müssen die jeweilige Berechtigung haben, damit Sie die entsprechende Methode verwenden können. Berechtigungen werden Nutzern nicht direkt gewährt, sondern indirekt über Rollen. In Rollen sind mehrere Berechtigungen zusammengefasst, was die Verwaltung vereinfacht. Weitere Informationen zu diesen Konzepten finden Sie unter Konzepte der Zugriffsverwaltung.

Rollen für gängige Kombinationen von Berechtigungen sind für Sie vordefiniert. Sie können jedoch auch eigene Kombinationen von Berechtigungen erstellen. Dazu erstellen Sie benutzerdefinierte IAM-Rollen.

Vordefinierte Rollen

Die folgenden IAM-Rollen sind von Cloud Monitoring vordefiniert. Durch sie werden nur Berechtigungen für Monitoring gewährt.

Monitoring

Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:

Name
Titel
Berechtigungen
roles/monitoring.viewer
Monitoring-Betrachter
Gewährt Lesezugriff auf Monitoring in der Google Cloud Console und der API.
roles/monitoring.editor
Monitoring-Bearbeiter
Gewährt Lese-/Schreibzugriff auf Monitoring in der Google Cloud Console und API
sowie Lese-/Schreibzugriff auf einen Messwertbereich, wenn die Google Cloud Console verwendet wird. Schreibzugriff auf einen Messwertbereich gewährt die Berechtigung, diesem Messwertbereich überwachte Google Cloud-Projekte hinzuzufügen (oder zu entfernen).
roles/monitoring.admin
Monitoring-Administrator
Gewährt vollständigen Zugriff auf Monitoring in der Google Cloud Console und der API
und gewährt Lese-/Schreibzugriff auf einen Messwertbereich. Schreibzugriff auf einen Messwertbereich gewährt die Berechtigung, diesem Messwertbereich überwachte Google Cloud-Projekte hinzuzufügen (oder zu entfernen).

Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:

Name
Titel
Beschreibung
roles/monitoring.metricWriter
Monitoring-Messwert-Autor
Ermöglicht das Schreiben von Monitoringdaten in einen Messwertbereich;
ermöglicht keinen Zugriff auf Monitoring in der Google Cloud Console.
Diese Rolle ist für Dienstkonten und Agents vorgesehen.

Benachrichtigungsrichtlinien

Durch die folgenden Rollen werden Berechtigungen für Benachrichtigungsrichtlinien gewährt:

Name
Titel
Beschreibung
roles/monitoring.alertPolicyViewer
Betrachter von Monitoring-Benachrichtigungsrichtlinien
Gewährt Lesezugriff auf Benachrichtigungsrichtlinien.
roles/monitoring.alertPolicyEditor
Bearbeiter von Monitoring-Benachrichtigungsrichtlinien
Gewährt Lese-/Schreibzugriff auf Benachrichtigungsrichtlinien.

Dashboards

Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:

Name
Titel
Beschreibung
roles/monitoring.dashboardViewer
Betrachter von Monitoring-Dashboard-Konfigurationen
Gewährt Lesezugriff auf Dashboard-Konfigurationen.
roles/monitoring.dashboardEditor
Bearbeiter der Monitoring-Dashboard-Konfiguration
Gewährt Lese-/Schreibzugriff auf Dashboard-Konfigurationen.

Vorfälle

Die folgenden Rollen gewähren allgemeine Berechtigungen zum Aufrufen von Vorfällen:

Name
Titel
Beschreibung
roles/monitoring.viewer
Monitoring-Betrachter
Gewährt Zugriff zum Ansehen von Vorfällen.
roles/monitoring.editor
Monitoring-Bearbeiter
Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen.
roles/monitoring.admin
Monitoring-Administrator
Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen.

Zum Aufrufen der Details eines Vorfalls benötigen Sie mindestens die Identity and Access Management-Rolle von roles/monitoring.viewer. Weitere Informationen finden Sie unter Details zu Vorfällen können aufgrund eines Berechtigungsfehlers nicht angezeigt werden.

Benachrichtigungskanäle

Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:

Name
Titel
Beschreibung
roles/monitoring.notificationChannelViewer
Betrachter von Monitoring-Benachrichtigungskanälen
Gewährt Lesezugriff auf Benachrichtigungskanäle.
roles/monitoring.notificationChannelEditor
Bearbeiter von Monitoring-Benachrichtigungskanälen
Gewährt Lese-/Schreibzugriff auf Benachrichtigungskanäle.

Benachrichtigungen zurückstellen

Mit den folgenden Rollen werden Berechtigungen zum Zurückstellen von Benachrichtigungen gewährt:

Name
Titel
Beschreibung
roles/monitoring.viewer
Monitoring-Betrachter
Gewährt Lesezugriff auf Schlummerfunktionen.
roles/monitoring.editor
Monitoring-Bearbeiter
Gewährt Lese-/Schreibzugriff auf Schlummerfunktionen.

Dienstmonitoring

Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:

Name
Titel
Beschreibung
roles/monitoring.servicesViewer
Betrachter von Monitoring-Diensten
Gewährt Lesezugriff auf Dienste.
roles/monitoring.servicesEditor
Bearbeiter von Monitoring-Diensten
Gewährt Lese-/Schreibzugriff auf Dienste.

Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.

Verfügbarkeitsdiagnosen-Konfigurationen

Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:

Name
Titel
Beschreibung
roles/monitoring.uptimeCheckConfigViewer
Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen
Gewährt Lesezugriff auf Verfügbarkeitsdiagnosen-Konfigurationen.
roles/monitoring.uptimeCheckConfigEditor
Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen
Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosen-Konfigurationen.

Konfigurationen des Messwertbereichs

Die folgenden Rollen gewähren allgemeine Berechtigungen für Messwertbereiche:

Name
Titel
Beschreibung
roles/monitoring.metricsScopesViewer
Betrachter von Monitoring-Messwertbereichen
Gewährt Lesezugriff auf Messwertbereiche.
roles/monitoring.metricsScopesAdmin
Administrator von Monitoring-Messwertbereichen
Gewährt Lese-/Schreibzugriff auf Messwertbereiche.

Google Cloud

Durch die folgenden Rollen werden Berechtigungen für viele Dienste und Ressourcen in der Google Cloud gewährt, einschließlich Monitoring:

Name
Titel
Berechtigungen
roles/viewer
Betrachter
Die Monitoring-Berechtigungen sind genau die Berechtigungen in roles/monitoring.viewer.
roles/editor
Bearbeiter

Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.editor, mit Ausnahme der Berechtigung stackdriver.projects.edit. Die Rolle roles/editor enthält nicht die Berechtigung stackdriver.projects.edit.

Diese Rolle gewährt keine Berechtigung zum Ändern eines Messwertbereichs. Wenn Sie einen Messwertbereich bei Verwendung der API ändern möchten, muss Ihre Rolle die Berechtigung monitoring.metricsScopes.link enthalten. Wenn Sie einen Messwertbereich in der Google Cloud Console ändern möchten, muss Ihre Rolle entweder die Berechtigung monitoring.metricsScopes.link haben oder Sie müssen die Rolle roles/monitoring.editor haben.

roles/owner
Inhaber
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin.

Benutzerdefinierte Rollen

Sie können auch eigene, benutzerdefinierte Rollen erstellen, die bestimmte Berechtigungen beinhalten. Weitere Informationen zu Rollen und Berechtigungen finden Sie auf dieser Seite unter Berechtigungen und Rollen und Benutzerdefinierte Rollen.

Berechtigungen und Rollen

In diesem Abschnitt werden die IAM-Berechtigungen und -Rollen für Monitoring aufgeführt.

API-Berechtigungen

Für jede Monitoring API-Methode ist eine bestimmte IAM-Berechtigung erforderlich, wie in der folgenden Tabelle angegeben.

Monitoring API-Methode Berechtigung Ressourcentyp
projects.alertPolicies.create monitoring.alertPolicies.create Projekt
projects.alertPolicies.delete monitoring.alertPolicies.delete AlertPolicy
projects.alertPolicies.get monitoring.alertPolicies.get AlertPolicy
projects.alertPolicies.list monitoring.alertPolicies.list Projekt
projects.alertPolicies.patch monitoring.alertPolicies.update AlertPolicy
projects.dashboards.create monitoring.dashboards.create Projekt
projects.dashboards.delete monitoring.dashboards.delete Projekt
projects.dashboards.get monitoring.dashboards.get Projekt
projects.dashboards.list monitoring.dashboards.list Projekt
projects.dashboards.patch monitoring.dashboards.update Projekt
projects.groups.create monitoring.groups.create Projekt
projects.groups.delete monitoring.groups.delete Group
projects.groups.get monitoring.groups.get Group
projects.groups.list monitoring.groups.list Projekt
projects.groups.update monitoring.groups.update Group
projects.groups.members.list monitoring.groups.get Group
projects.metricDescriptors.create monitoring.metricDescriptors.create Projekt
projects.metricDescriptors.delete monitoring.metricDescriptors.delete MetricDescriptor
projects.metricDescriptors.get monitoring.metricDescriptors.get MetricDescriptor
projects.metricDescriptors.list monitoring.metricDescriptors.list Projekt
projects.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.get MonitoredResourceDescriptor
projects.monitoredResourceDescriptors.list monitoring.monitoredResourceDescriptors.list Projekt
projects.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.get NotificationChannelDescriptor
projects.notificationChannelDescriptors.list monitoring.notificationChannelDescriptors.list Projekt
projects.notificationChannels.create monitoring.notificationChannels.create Projekt
projects.notificationChannels.delete monitoring.notificationChannels.delete NotificationChannel
projects.notificationChannels.get monitoring.notificationChannels.get NotificationChannel
projects.notificationChannels.getVerificationCode monitoring.notificationChannels.getVerificationCode NotificationChannel
projects.notificationChannels.list monitoring.notificationChannels.list Projekt
projects.notificationChannels.patch monitoring.notificationChannels.update NotificationChannel
projects.notificationChannels.sendVerificationCode monitoring.notificationChannels.sendVerificationCode NotificationChannel
projects.notificationChannels.verify monitoring.notificationChannels.verify NotificationChannel
projects.services.create monitoring.services.create Projekt
projects.services.delete monitoring.services.delete Service
projects.services.get monitoring.services.get Service
projects.services.list monitoring.services.list Projekt
projects.services.patch monitoring.services.update Service
projects.services.serviceLevelObjectives.create monitoring.slos.create Projekt
projects.services.serviceLevelObjectives.delete monitoring.slos.delete ServiceLevelObjective
projects.services.serviceLevelObjectives.get monitoring.slos.get ServiceLevelObjective
projects.services.serviceLevelObjectives.list monitoring.slos.list Projekt
projects.services.serviceLevelObjectives.patch monitoring.slos.update ServiceLevelObjective
projects.timeSeries.create monitoring.timeSeries.create Projekt
projects.timeSeries.list monitoring.timeSeries.list Projekt, Ordner, Organisation
projects.timeSeries.query monitoring.timeSeries.list Projekt
projects.uptimeCheckConfigs.create monitoring.uptimeCheckConfigs.create UptimeCheckConfig
projects.uptimeCheckConfigs.delete monitoring.uptimeCheckConfigs.delete UptimeCheckConfig
projects.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.get UptimeCheckConfig
projects.uptimeCheckConfigs.list monitoring.uptimeCheckConfigs.list UptimeCheckConfig
projects.uptimeCheckConfigs.patch monitoring.uptimeCheckConfigs.update UptimeCheckConfig
locations.global.metricsScopes.get resourcemanager.projects.get Projekt
locations.global.metricsScopes/listMetricScopesByMonitoredProject resourcemanager.projects.get Projekt
locations.global.metricsScopes.projects.create monitoring.metricsScopes.link Projekt
locations.global.metricsScopes.projects.delete monitoring.metricsScopes.link Projekt

Konsolenberechtigungen für Monitoring

Für jedes Monitoring-Feature in der Google Cloud Console benötigen Sie die Berechtigung für die API, mit der das Feature implementiert wird. Für die Fähigkeit zum Suchen in Gruppen sind beispielsweise Berechtigungen für die Methoden list und get für Gruppen und Gruppenmitglieder erforderlich. Sie können an Funktionalität einbüßen, wenn die erforderlichen Berechtigungen widerrufen werden.

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die zur Verwendung von Monitoring in der Google Cloud Console erforderlich sind:

Aktivität Erforderliche Berechtigungen Für Ressourcentyp
Lesezugriff Die Berechtigungen, die in der Rolle roles/monitoring.viewer enthalten sind. project.
Lese- und Schreibzugriff auf die Konsole Die Berechtigungen, die in der Rolle roles/monitoring.editor enthalten sind. project.
Vollständiger Zugriff auf die Konsole Die Berechtigungen, die in der Rolle roles/monitoring.admin enthalten sind. project.

Rollen

Die folgende Tabelle enthält die IAM-Rollen, die Zugriff auf Monitoring gewähren, sowie die mit der jeweiligen Rolle verknüpften Berechtigungen. Einige dieser Rollen bauen aufeinander auf: Die Rolle roles/monitoring.editor beinhaltet beispielsweise alle Berechtigungen der Rolle roles/monitoring.viewer und darüber hinaus zusätzliche Berechtigungen.

Rollen können nur auf Projektebene zugewiesen werden.

Monitoring

Die Monitoring-Rollen beinhalten die folgenden Berechtigungen:

Name
Titel
Berechtigungen
roles/monitoring.viewer
Monitoring-Betrachter
cloudnotifications.activities.list
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.groups.get
monitoring.groups.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
opsconfigmonitoring.resourceMetadata.list
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get stackdriver.resourceMetadata.list
roles/monitoring.editor
Monitoring-Bearbeiter
cloudnotifications.activities.list
monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update
monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update
monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update
monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.publicWidgets.create
monitoring.publicWidgets.delete
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.publicWidgets.update
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update
monitoring.timeSeries.create
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update
opsconfigmonitoring.resourceMetadata.write
opsconfigmonitoring.resourceSnapshot.create
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.enable
stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.write
roles/monitoring.admin
Monitoring-Administrator
Die Berechtigungen in roles/monitoring.editor sowie die folgenden:
monitoring.notificationChannels.getVerificationCode
monitoring.metricsScopes.link

Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:

Name
Titel
Berechtigungen
roles/monitoring.metricWriter
Autor von Monitoringmesswerten
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.timeSeries.create

Benachrichtigungsrichtlinien

Die Benachrichtigungsrichtlinien-Rollen beinhalten die folgenden Berechtigungen:

Name
Titel
Berechtigungen
roles/monitoring.alertPolicyViewer
Betrachter von Monitoring-Benachrichtigungsrichtlinien
monitoring.alertPolicies.get
monitoring.alertPolicies.list
roles/monitoring.alertPolicyEditor
Bearbeiter von Monitoring-Benachrichtigungsrichtlinien
monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update

Dashboards

Die Dashboard-Rollen beinhalten die folgenden Berechtigungen:

Name
Titel
Berechtigungen
roles/monitoring.dashboardViewer
Betrachter von Monitoring-Dashboard-Konfigurationen
monitoring.dashboards.get
monitoring.dashboards.list
roles/monitoring.dashboardEditor
Bearbeiter von Monitoring-Dashboard-Konfigurationen
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.update

Benachrichtigungskanäle

Die Benachrichtigungskanal-Rollen beinhalten die folgenden Berechtigungen:

Name
Titel
Berechtigungen
roles/monitoring.notificationChannelViewer
Betrachter von Monitoring-Benachrichtigungskanälen
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.get
monitoring.notificationChannels.list
roles/monitoring.notificationChannelEditor
Bearbeiter von Monitoring-Benachrichtigungskanälen
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify

Benachrichtigungen zurückstellen

Derzeit gibt es keine speziellen Berechtigungen für Schlummerfunktionen.

Dienstmonitoring

Die Rollen für Dienst-Monitoring beinhalten die folgenden Berechtigungen:

Name
Titel
Berechtigungen
roles/monitoring.servicesViewer
Betrachter von Monitoring-Diensten
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
roles/monitoring.servicesEditor
Bearbeiter von Monitoringdiensten
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

Verfügbarkeitsdiagnosen-Konfigurationen

Die Rollen für Verfügbarkeitsdiagnosen-Konfigurationen beinhalten die folgenden Berechtigungen:

Name
Titel
Berechtigungen
roles/monitoring.uptimeCheckConfigViewer
Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
roles/monitoring.uptimeCheckConfigEditor
Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

Konfiguration von Messwertbereichen

Die Konfigurationsrollen für den Messwertbereich enthalten die folgenden Berechtigungen:

Name
Titel
Berechtigungen
roles/monitoring.metricsScopesViewer
Betrachter von Monitoringmesswerten
resourcemanager.projects.get
resourcemanager.projects.list
roles/monitoring.metricsScopesAdmin
Administratorbereich für Monitoringmesswerte
Überwachte Projekte hinzufügen und entfernen
resourcemanager.projects.get
resourcemanager.projects.list
monitoring.metricsScopes.link

Google Cloud

Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:

Name
Titel
Berechtigungen
roles/viewer
Betrachter
Die Monitoring-Berechtigungen sind genau die Berechtigungen in roles/monitoring.viewer.
roles/editor
Bearbeiter

Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.editor, mit Ausnahme der Berechtigung stackdriver.projects.edit. Die Rolle roles/editor enthält nicht die Berechtigung stackdriver.projects.edit.

Diese Rolle gewährt keine Berechtigung zum Ändern eines Messwertbereichs. Wenn Sie einen Messwertbereich bei Verwendung der API ändern möchten, muss Ihre Rolle die Berechtigung monitoring.metricsScopes.link enthalten. Wenn Sie einen Messwertbereich in der Google Cloud Console ändern möchten, muss Ihre Rolle entweder die Berechtigung monitoring.metricsScopes.link haben oder Sie müssen die Rolle roles/monitoring.editor haben.

roles/owner
Inhaber
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin.

IAM-Rollen zuweisen

Die Projektinhaber, Bearbeiter und Standarddienstkonten für Compute Engine und App Engine haben bereits die erforderlichen Berechtigungen. Bei anderen Nutzerkonten kann es jedoch erforderlich sein, diese Rollen explizit zuzuweisen.

Damit über ein Nutzerkonto beispielsweise mithilfe der Monitoring API Messwertdeskriptoren gelesen oder geschrieben werden können, muss der Nutzer die entsprechenden monitoring.metricDescriptors.*-IAM-Berechtigungen haben. Sie können diese bereitstellen, indem Sie die vordefinierten Rollen Monitoring Viewer (roles/monitoring.viewer, Monitoring-Betrachter) und Monitoring Editor (roles/monitoring.editor, Monitoring-Bearbeiter) erteilen. Weitere Informationen finden Sie unter API-Berechtigungen.

Diese Berechtigungen können entweder über die Google Cloud CLI oder über die Google Cloud Console (Google Cloud Console) erteilt werden.

Google Cloud CLI

Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um die Rolle monitoring.viewer oder monitoring.editor zu erteilen.

Beispiel:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Mit dem Befehl gcloud projects get-iam-policy werden die zugewiesenen Rollen bestätigt:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Google Cloud Console

  1. Rufen Sie die Google Cloud Console auf:

    Weiter zur Google Cloud Console

  2. Klicken Sie falls nötig auf die Drop-down-Liste der Google Cloud-Projekte und wählen Sie den Namen des Projekts aus, für das Sie die API aktivieren möchten.

  3. Klicken Sie auf Menü, um das Navigationsmenü zu maximieren.

  4. Klicken Sie auf IAM & Verwaltung.

  5. Wenn der Nutzer Mitglied ist, klicken Sie auf Bearbeiten , um seine Berechtigungen zu ändern. Sie können die vorhandene Rolle ändern oder eine zusätzliche Rolle hinzufügen. Um die Änderungen zu speichern, klicken Sie auf Speichern.

  6. Wenn der Nutzer kein Mitglied ist, gehen Sie so vor:

    1. Klicken Sie auf Add (Hinzufügen).
    2. Geben Sie in das Feld Neue Mitglieder den Nutzernamen ein.
    3. Klicken Sie in Rolle auswählen auf Menü .
    4. Geben Sie in die Filterleiste die entsprechende Rolle ein:
      • Monitoring Editor (Monitoring-Bearbeiter) gewährt Lese- und Schreibzugriff.
      • Monitoring Viewer (Monitoring-Betrachter) gewährt nur Lesezugriff.

Benutzerdefinierte Rollen

Sie können eine benutzerdefinierte Rolle erstellen, wenn Sie einem Hauptkonto nur wenige Berechtigungen wie vordefinierte Rollen gewähren möchten. Wenn Sie beispielsweise Assured Workloads einrichten, weil Sie Anforderungen an die Datenresistenz oder für Impact Level 4 (IL4) haben, sollten Sie keine Verfügbarkeitsdiagnosen verwenden, da nicht garantiert werden kann, dass die Verfügbarkeitsdiagnosen an einem bestimmten Standort gespeichert sind. Erstellen Sie eine Rolle ohne Berechtigungen mit dem Präfix monitoring.uptimeCheckConfigs, um die Verwendung von Verfügbarkeitsdiagnosen zu verhindern.

So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:

  • Wählen Sie für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, eine der Berechtigungen aus dem Abschnitt API-Berechtigungen aus.

  • Wählen Sie für eine Rolle, die Berechtigungen für das Monitoring in der Google Cloud Console gewährt, eine der Berechtigungsgruppen im Abschnitt Konsolenberechtigungen für Monitoring aus.

  • Beziehen Sie für eine Rolle, mit der Monitoring-Daten geschrieben werden können, die Berechtigungen der Rolle roles/monitoring.metricWriter aus dem Abschnitt Rollen ein.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.

Zugriffsbereiche für Compute Engine

Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:

Zugriffsbereich Gewährte Berechtigungen
https://www.googleapis.com/auth/monitoring.read Die gleichen Berechtigungen wie in roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write Die gleichen Berechtigungen wie in roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Vollzugriff auf Monitoring
https://www.googleapis.com/auth/cloud-platform Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs

Weitere Informationen finden Sie unter Zugriffsbereiche.

Best Practice: Da Dienstkonto-IAM-Rollen leicht zu konfigurieren und zu ändern sind, empfiehlt es sich, Ihren VM-Instanzen den umfassendsten Zugriffsbereich (cloud-platform) zu geben und dann über IAM-Rollen den Zugriff auf bestimmte APIs und Vorgänge. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.