In diesem Dokument werden die von Cloud Monitoring verwendeten IAM-Rollen (Identity and Access Management) beschrieben. Es richtet sich an Administratoren, die Rollen und Berechtigungen konfigurieren und gewähren.
Best Practice
Wir empfehlen, Google-Gruppen zu erstellen, um den Zugriff auf Cloud-Projekte zu verwalten:
- Weitere Informationen finden Sie unter Gruppen in der Google Cloud Console verwalten.
- Informationen zum Festlegen von Limits für Rollen finden Sie unter Limits für zugewiesene Rollen festlegen.
VPC Service Controls
Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.
VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.
Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.
Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.
Zugriff auf Cloud Monitoring gewähren
IAM-Rollen für Hauptkonten können Sie in der Google Cloud Console auf der Seite „Identitäts- und Zugriffsverwaltung“ verwalten. Cloud Monitoring bietet jedoch eine vereinfachte Schnittstelle, mit der Sie Ihre Monitoring-spezifischen Rollen, Rollen auf Projektebene sowie die allgemeinen Rollen für Cloud Logging und Cloud Trace verwalten können.
So gewähren Sie Hauptkonten Zugriff auf Monitoring, Cloud Logging oder Cloud Trace oder gewähren Sie eine Rolle auf Projektebene:
- Wählen Sie in der Google Cloud Console Monitoring aus oder klicken Sie auf die folgende Schaltfläche:
Zu Monitoring Wählen Sie im Navigationsbereich Berechtigungen aus.
Auf der Seite Berechtigungen werden nicht alle Hauptkonten angezeigt. Es werden nur die Hauptkonten aufgeführt, die eine Rolle auf Projektebene oder eine Rolle haben, die nur für Monitoring, Logging oder Trace gilt.
Mit den Optionen auf dieser Seite können Sie alle Hauptkonten ansehen, deren Rollen eine beliebige Monitoring-Berechtigung enthalten.
Klicken Sie auf Zugriff erlauben.
Klicken Sie auf Neue Hauptkonten und geben Sie den Nutzernamen für das Hauptkonto ein. Sie können mehrere Hauptkonten hinzufügen.
Maximieren Sie arrow_drop_down Rolle auswählen, wählen Sie einen Wert aus dem Menü Nach Produkt oder Dienst und dann eine Rolle aus dem Menü Rollen aus:
Nach Produkt oder Dienstleistung auswählen Auswahl von Rollen Beschreibung Monitoring Monitoring-Betrachter Monitoring-Daten und Konfigurationsinformationen ansehen. Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien aufrufen. Monitoring Monitoring-Editor Monitoring-Daten aufrufen sowie Konfigurationen erstellen und bearbeiten. Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien erstellen. Monitoring Monitoring-Administrator Monitoring-Daten aufrufen, Konfigurationen erstellen und bearbeiten und den Messwertbereich ändern. Cloud Trace Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen. Cloud Trace Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole, Lese- und Schreibzugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen. Logging Loganzeige Lesezugriff auf Logs. Weitere Informationen finden Sie unter Logging-Rollen. Logging Logging-Administrator Vollständiger Zugriff auf alle Features von Cloud Logging. Weitere Informationen finden Sie unter Logging-Rollen. Projekt Betrachter Lesezugriff auf die meisten Google Cloud-Ressourcen. Projekt Bearbeiter Kann die meisten Google Cloud-Ressourcen ansehen, erstellen, aktualisieren und löschen. Projekt Inhaber Vollständiger Zugriff auf die meisten Google Cloud-Ressourcen. Optional: Klicken Sie auf Weitere Rolle hinzufügen und wiederholen Sie den vorherigen Schritt, um demselben Hauptkonto eine weitere Rolle zuzuweisen.
Klicken Sie auf Speichern.
In den vorherigen Schritten wurde beschrieben, wie Sie einem Hauptkonto mithilfe von Monitoring-Seiten in der Google Cloud Console bestimmte Rollen zuweisen. Für diese Rollen unterstützt diese Seite auch Optionen zum Bearbeiten und Löschen:
Wenn Sie Rollen für ein Hauptkonto entfernen möchten, klicken Sie auf das Kästchen neben dem Hauptkonto und dann auf Zugriffsrechte entfernen.
Klicken Sie zum Bearbeiten der Rollen für ein Hauptkonto auf edit Bearbeiten. Klicken Sie nach dem Aktualisieren der Einstellungen auf Speichern.
Monitoring IAM – Übersicht
Zur Verwendung von Monitoring benötigen Sie die entsprechenden IAM-Berechtigungen.
Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Sie müssen die jeweilige Berechtigung haben, damit Sie die entsprechende Methode verwenden können. Berechtigungen werden Nutzern nicht direkt gewährt, sondern indirekt über Rollen. In Rollen sind mehrere Berechtigungen zusammengefasst, was die Verwaltung vereinfacht. Weitere Informationen zu diesen Konzepten finden Sie unter Konzepte der Zugriffsverwaltung.
Rollen für gängige Kombinationen von Berechtigungen sind für Sie vordefiniert. Sie können jedoch auch eigene Kombinationen von Berechtigungen erstellen. Dazu erstellen Sie benutzerdefinierte IAM-Rollen.
Vordefinierte Rollen
Die folgenden IAM-Rollen sind von Cloud Monitoring vordefiniert. Durch sie werden nur Berechtigungen für Monitoring gewährt.
Monitoring
Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.viewerMonitoring-Betrachter |
Gewährt Lesezugriff auf Monitoring in der Google Cloud Console und der API. |
roles/monitoring.editorMonitoring-Bearbeiter |
Gewährt Lese- und Schreibzugriff auf Monitoring in der Google Cloud Console und API und gewährt bei Verwendung der Google Cloud Console Lese-/Schreibzugriff auf einen Messwertbereich. Schreibzugriff auf einen Messwertbereich gewährt die Berechtigung, diesem Messwertbereich überwachte Google Cloud-Projekte hinzuzufügen oder daraus zu entfernen. |
roles/monitoring.adminMonitoring-Administrator |
Gewährt vollständigen Zugriff auf Monitoring in der Google Cloud Console und in der API und gewährt Lese-/Schreibzugriff auf einen Messwertbereich. Schreibzugriff auf einen Messwertbereich gewährt die Berechtigung, diesem Messwertbereich überwachte Google Cloud-Projekte hinzuzufügen oder daraus zu entfernen. |
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.metricWriterMonitoring-Messwert-Autor |
Ermöglicht das Schreiben von Monitoringdaten in einen Messwertbereich. Gewährt in der Google Cloud Console keinen Zugriff auf Monitoring. Diese Rolle gilt für Dienstkonten und Agents. |
Benachrichtigungsrichtlinien
Durch die folgenden Rollen werden Berechtigungen für Benachrichtigungsrichtlinien gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.alertPolicyViewerBetrachter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lesezugriff auf Benachrichtigungsrichtlinien. |
roles/monitoring.alertPolicyEditorBearbeiter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lese-/Schreibzugriff auf Benachrichtigungsrichtlinien. |
Dashboards
Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.dashboardViewerBetrachter von Monitoring-Dashboard-Konfigurationen |
Gewährt Lesezugriff auf Dashboardkonfigurationen. |
roles/monitoring.dashboardEditorBearbeiter der Monitoring-Dashboard-Konfiguration |
Gewährt Lese-/Schreibzugriff auf Dashboardkonfigurationen. |
Vorfälle
Die folgenden Rollen gewähren allgemeine Berechtigungen zum Aufrufen von Vorfällen:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.viewerMonitoring-Betrachter |
Gewährt Zugriff zum Ansehen von Vorfällen. |
roles/monitoring.editorMonitoring-Bearbeiter |
Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen. |
roles/monitoring.adminMonitoring-Administrator |
Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen. |
Zum Aufrufen der Details eines Vorfalls benötigen Sie mindestens die Identity and Access Management-Rolle von roles/monitoring.viewer.
Weitere Informationen finden Sie unter Details zu Vorfällen können aufgrund eines Berechtigungsfehlers nicht angezeigt werden.
Benachrichtigungskanäle
Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.notificationChannelViewerBetrachter von Monitoring-Benachrichtigungskanälen |
Gewährt Lesezugriff auf Benachrichtigungskanäle. |
roles/monitoring.notificationChannelEditorBearbeiter von Monitoring-Benachrichtigungskanälen |
Gewährt Lese-/Schreibzugriff auf Benachrichtigungskanäle. |
Benachrichtigungen zurückstellen
Durch die folgenden Rollen werden Berechtigungen zum Zurückstellen von Benachrichtigungen gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.snoozeViewerBetrachter von Schlummerfunktionen |
Gewährt Lesezugriff auf Schlummerfunktionen. |
roles/monitoring.snoozeEditorMonitoring-Schlummerfunktion |
Gewährt Lese-/Schreibzugriff auf Schlummerfunktionen. |
Dienstmonitoring
Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.servicesViewerBetrachter von Monitoring-Diensten |
Gewährt Lesezugriff auf Dienste. |
roles/monitoring.servicesEditorBearbeiter von Monitoring-Diensten |
Gewährt Lese-/Schreibzugriff auf Dienste. |
Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.
Verfügbarkeitsdiagnosen-Konfigurationen
Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.uptimeCheckConfigViewerBetrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lesezugriff auf Verfügbarkeitsdiagnosekonfigurationen. |
roles/monitoring.uptimeCheckConfigEditorBearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosekonfigurationen. |
Konfigurationen des Messwertbereichs
Die folgenden Rollen gewähren allgemeine Berechtigungen für Messwertbereiche:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.metricsScopesViewerBetrachter von Monitoring-Messwertbereichen |
Gewährt Lesezugriff auf Messwertbereiche. |
roles/monitoring.metricsScopesAdminAdministrator von Monitoring-Messwertbereichen |
Gewährt Lese-/Schreibzugriff auf Messwertbereiche. |
Google Cloud
Durch die folgenden Rollen werden Berechtigungen für viele Dienste und Ressourcen in der Google Cloud gewährt, einschließlich Monitoring:
| Name Titel |
Berechtigungen |
|---|---|
roles/viewerBetrachter |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer.
|
roles/editorBearbeiter |
Die Monitoring-Berechtigungen sind dieselben wie in Diese Rolle berechtigt nicht zum Ändern eines Messwertbereichs.
Wenn Sie einen Messwertbereich bei Verwendung der API ändern möchten, muss Ihre Rolle die Berechtigung |
roles/ownerInhaber |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin.
|
Benutzerdefinierte Rollen
Sie können auch eigene, benutzerdefinierte Rollen erstellen, die bestimmte Berechtigungen beinhalten. Weitere Informationen zu Rollen und Berechtigungen finden Sie auf dieser Seite unter Berechtigungen und Rollen und Benutzerdefinierte Rollen.
Berechtigungen und Rollen
In diesem Abschnitt werden die IAM-Berechtigungen und -Rollen für Monitoring aufgeführt.
API-Berechtigungen
Für jede Monitoring API-Methode ist eine bestimmte IAM-Berechtigung erforderlich, wie in der folgenden Tabelle angegeben.
| Monitoring API-Methode | Berechtigung | Ressourcentyp |
|---|---|---|
projects.alertPolicies.create |
monitoring.alertPolicies.create |
Projekt |
projects.alertPolicies.delete |
monitoring.alertPolicies.delete |
AlertPolicy |
projects.alertPolicies.get |
monitoring.alertPolicies.get |
AlertPolicy |
projects.alertPolicies.list |
monitoring.alertPolicies.list |
Projekt |
projects.alertPolicies.patch |
monitoring.alertPolicies.update |
AlertPolicy |
projects.dashboards.create |
monitoring.dashboards.create |
Projekt |
projects.dashboards.delete |
monitoring.dashboards.delete |
Projekt |
projects.dashboards.get |
monitoring.dashboards.get |
Projekt |
projects.dashboards.list |
monitoring.dashboards.list |
Projekt |
projects.dashboards.patch |
monitoring.dashboards.update |
Projekt |
projects.groups.create |
monitoring.groups.create |
Projekt |
projects.groups.delete |
monitoring.groups.delete |
Group |
projects.groups.get |
monitoring.groups.get |
Group |
projects.groups.list |
monitoring.groups.list |
Projekt |
projects.groups.update |
monitoring.groups.update |
Group |
projects.groups.members.list |
monitoring.groups.get |
Group |
projects.metricDescriptors.create |
monitoring.metricDescriptors.create |
Projekt |
projects.metricDescriptors.delete |
monitoring.metricDescriptors.delete |
MetricDescriptor |
projects.metricDescriptors.get |
monitoring.metricDescriptors.get |
MetricDescriptor |
projects.metricDescriptors.list |
monitoring.metricDescriptors.list |
Projekt |
projects.monitoredResourceDescriptors.get |
monitoring.monitoredResourceDescriptors.get |
MonitoredResourceDescriptor |
projects.monitoredResourceDescriptors.list |
monitoring.monitoredResourceDescriptors.list |
Projekt |
projects.notificationChannelDescriptors.get |
monitoring.notificationChannelDescriptors.get |
NotificationChannelDescriptor |
projects.notificationChannelDescriptors.list |
monitoring.notificationChannelDescriptors.list |
Projekt |
projects.notificationChannels.create |
monitoring.notificationChannels.create |
Projekt |
projects.notificationChannels.delete |
monitoring.notificationChannels.delete |
NotificationChannel |
projects.notificationChannels.get |
monitoring.notificationChannels.get |
NotificationChannel |
projects.notificationChannels.getVerificationCode |
monitoring.notificationChannels.getVerificationCode |
NotificationChannel |
projects.notificationChannels.list |
monitoring.notificationChannels.list |
Projekt |
projects.notificationChannels.patch |
monitoring.notificationChannels.update |
NotificationChannel |
projects.notificationChannels.sendVerificationCode |
monitoring.notificationChannels.sendVerificationCode |
NotificationChannel |
projects.notificationChannels.verify |
monitoring.notificationChannels.verify |
NotificationChannel |
projects.services.create |
monitoring.services.create |
Projekt |
projects.services.delete |
monitoring.services.delete |
Service |
projects.services.get |
monitoring.services.get |
Service |
projects.services.list |
monitoring.services.list |
Projekt |
projects.services.patch |
monitoring.services.update |
Service |
projects.services.serviceLevelObjectives.create |
monitoring.slos.create |
Projekt |
projects.services.serviceLevelObjectives.delete |
monitoring.slos.delete |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.get |
monitoring.slos.get |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.list |
monitoring.slos.list |
Projekt |
projects.services.serviceLevelObjectives.patch |
monitoring.slos.update |
ServiceLevelObjective |
projects.timeSeries.create |
monitoring.timeSeries.create |
Projekt |
projects.timeSeries.list |
monitoring.timeSeries.list |
Projekt, Ordner, Organisation |
projects.timeSeries.query |
monitoring.timeSeries.list |
Projekt |
projects.uptimeCheckConfigs.create |
monitoring.uptimeCheckConfigs.create |
UptimeCheckConfig |
projects.uptimeCheckConfigs.delete |
monitoring.uptimeCheckConfigs.delete |
UptimeCheckConfig |
projects.uptimeCheckConfigs.get |
monitoring.uptimeCheckConfigs.get |
UptimeCheckConfig |
projects.uptimeCheckConfigs.list |
monitoring.uptimeCheckConfigs.list |
UptimeCheckConfig |
projects.uptimeCheckConfigs.patch |
monitoring.uptimeCheckConfigs.update |
UptimeCheckConfig |
locations.global.metricsScopes.get |
resourcemanager.projects.get |
Projekt |
locations.global.metricsScopes/listMetricScopesByMonitoredProject |
resourcemanager.projects.get |
Projekt |
locations.global.metricsScopes.projects.create |
monitoring.metricsScopes.link |
Projekt |
locations.global.metricsScopes.projects.delete |
monitoring.metricsScopes.link |
Projekt |
Konsolenberechtigungen für Monitoring
Sie benötigen für jedes Monitoring-Feature in der Google Cloud Console die Berechtigung für die API, mit der das Feature implementiert wird. Für die Fähigkeit zum Suchen in Gruppen sind beispielsweise Berechtigungen für die Methoden list und get für Gruppen und Gruppenmitglieder erforderlich.
Sie können an Funktionalität einbüßen, wenn die erforderlichen Berechtigungen widerrufen werden.
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für die Verwendung von Monitoring in der Google Cloud Console erforderlich sind:
| Aktivität | Erforderliche Berechtigungen | Für Ressourcentyp |
|---|---|---|
| Lesezugriff | Die Berechtigungen, die in der Rolle roles/monitoring.viewer enthalten sind. |
project. |
| Lese- und Schreibzugriff auf die Konsole | Die Berechtigungen, die in der Rolle roles/monitoring.editor enthalten sind. |
project. |
| Vollständiger Zugriff auf die Konsole | Die Berechtigungen, die in der Rolle roles/monitoring.admin enthalten sind. |
project. |
Rollen
Die folgende Tabelle enthält die IAM-Rollen, die Zugriff auf Monitoring gewähren, sowie die mit der jeweiligen Rolle verknüpften Berechtigungen.
Einige dieser Rollen bauen aufeinander auf: Die Rolle roles/monitoring.editor beinhaltet beispielsweise alle Berechtigungen der Rolle roles/monitoring.viewer und darüber hinaus zusätzliche Berechtigungen.
Rollen können nur auf Projektebene zugewiesen werden.
Monitoring
Die Monitoring-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.viewerMonitoring-Betrachter |
cloudnotifications.activities.listmonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.dashboards.getmonitoring.dashboards.listmonitoring.groups.getmonitoring.groups.listmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.listmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listopsconfigmonitoring.resourceMetadata.listresourcemanager.projects.getresourcemanager.projects.liststackdriver.projects.get
stackdriver.resourceMetadata.list |
roles/monitoring.editorMonitoring-Bearbeiter |
cloudnotifications.activities.listmonitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.updatemonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.updatemonitoring.groups.createmonitoring.groups.deletemonitoring.groups.getmonitoring.groups.listmonitoring.groups.updatemonitoring.metricDescriptors.createmonitoring.metricDescriptors.deletemonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verifymonitoring.publicWidgets.createmonitoring.publicWidgets.deletemonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.publicWidgets.updatemonitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.updatemonitoring.snoozes.createmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.snoozes.updatemonitoring.timeSeries.createmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.updateopsconfigmonitoring.resourceMetadata.writeopsconfigmonitoring.resourceSnapshot.createresourcemanager.projects.getresourcemanager.projects.listserviceusage.services.enablestackdriver.projects.editstackdriver.projects.getstackdriver.resourceMetadata.write
|
roles/monitoring.adminMonitoring-Administrator |
Die Berechtigungen in roles/monitoring.editor sowie die folgenden:monitoring.notificationChannels.getVerificationCodemonitoring.metricsScopes.link |
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.metricWriterMonitoring-Messwert-Autor |
monitoring.metricDescriptors.createmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.timeSeries.create
|
Benachrichtigungsrichtlinien
Die Benachrichtigungsrichtlinien-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.alertPolicyViewerBetrachter von Monitoring-Benachrichtigungsrichtlinien |
monitoring.alertPolicies.getmonitoring.alertPolicies.list |
roles/monitoring.alertPolicyEditorBearbeiter von Monitoring-Benachrichtigungsrichtlinien |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.update |
Dashboards
Die Dashboard-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.dashboardViewerBetrachter von Monitoring-Dashboardkonfigurationen |
monitoring.dashboards.getmonitoring.dashboards.list |
roles/monitoring.dashboardEditorBearbeiter von Monitoring-Dashboardkonfigurationen |
monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.update |
Benachrichtigungskanäle
Die Benachrichtigungskanal-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.notificationChannelViewerBetrachter von Monitoring-Benachrichtigungskanälen |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.list |
roles/monitoring.notificationChannelEditorBearbeiter von Monitoring-Benachrichtigungskanälen |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verify |
Benachrichtigungen zurückstellen
Die Rollen für die Schlummerfunktion umfassen die Berechtigungen, die zum Aufrufen oder Erstellen von Schlummerfunktionen erforderlich sind.
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.snoozeViewerBetrachter von „Zurückstellen“ in Monitoring |
monitoring.snoozes.getmonitoring.snoozes.list |
roles/monitoring.snoozeEditorBearbeiter von Schlummerfunktionen |
monitoring.snoozes.createmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.snoozes.update |
Dienstmonitoring
Die Rollen für Dienst-Monitoring beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.servicesViewerBetrachter von Monitoring-Diensten |
monitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.list |
roles/monitoring.servicesEditorBearbeiter von Monitoringdiensten |
monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.update |
Verfügbarkeitsdiagnosen-Konfigurationen
Die Rollen für Verfügbarkeitsdiagnosen-Konfigurationen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.uptimeCheckConfigViewerBetrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
monitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.list |
roles/monitoring.uptimeCheckConfigEditorBearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
monitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.update |
Konfiguration von Messwertbereichen
Die Konfigurationsrollen für den Messwertbereich beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.metricsScopesViewerBetrachter von Monitoring-Messwertbereichen |
resourcemanager.projects.getresourcemanager.projects.list |
roles/monitoring.metricsScopesAdminUmfang der Monitoring-Messwerte Sie können überwachte Projekte hinzufügen und entfernen. |
resourcemanager.projects.getresourcemanager.projects.listmonitoring.metricsScopes.link |
Google Cloud
Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/viewerBetrachter |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer.
|
roles/editorBearbeiter |
Die Monitoring-Berechtigungen sind dieselben wie in Diese Rolle berechtigt nicht zum Ändern eines Messwertbereichs.
Wenn Sie einen Messwertbereich bei Verwendung der API ändern möchten, muss Ihre Rolle die Berechtigung |
roles/ownerInhaber |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin.
|
IAM-Rollen zuweisen
Die Projektinhaber, Bearbeiter und Standarddienstkonten für Compute Engine und App Engine haben bereits die erforderlichen Berechtigungen. Bei anderen Nutzerkonten kann es jedoch erforderlich sein, diese Rollen explizit zuzuweisen.
Damit über ein Nutzerkonto beispielsweise mithilfe der Monitoring API Messwertdeskriptoren gelesen oder geschrieben werden können, muss der Nutzer die entsprechenden monitoring.metricDescriptors.*-IAM-Berechtigungen haben. Sie können diese bereitstellen, indem Sie die vordefinierten Rollen Monitoring Viewer (roles/monitoring.viewer, Monitoring-Betrachter) und Monitoring Editor (roles/monitoring.editor, Monitoring-Bearbeiter) erteilen.
Weitere Informationen finden Sie unter API-Berechtigungen.
Diese Berechtigungen können entweder über die Google Cloud CLI oder die Google Cloud Console (Google Cloud Console) erteilt werden.
Google Cloud CLI
Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um die Rolle monitoring.viewer oder monitoring.editor zu erteilen.
Beispiel:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Mit dem Befehl gcloud projects get-iam-policy werden die zugewiesenen Rollen bestätigt:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Google Cloud Console
Rufen Sie die Google Cloud Console auf:
Klicken Sie falls nötig auf die Drop-down-Liste der Google Cloud-Projekte und wählen Sie den Namen des Projekts aus, für das Sie die API aktivieren möchten.
Klicken Sie auf Menüarrow_drop_down, um das Navigationsmenü zu maximieren.
Klicken Sie auf IAM & Verwaltung.
Wenn der Nutzer Mitglied ist, klicken Sie auf Bearbeiten edit, um seine Berechtigungen zu ändern. Sie können die vorhandene Rolle ändern oder eine zusätzliche Rolle hinzufügen. Um die Änderungen zu speichern, klicken Sie auf Speichern.
Wenn der Nutzer kein Mitglied ist, gehen Sie so vor:
- Klicken Sie auf Add (Hinzufügen).
- Geben Sie in das Feld Neue Mitglieder den Nutzernamen ein.
- Klicken Sie in Rolle auswählen auf Menü arrow_drop_down.
- Geben Sie in der Filterleiste filter_list die entsprechende Rolle ein:
- Monitoring Editor (Monitoring-Bearbeiter) gewährt Lese- und Schreibzugriff.
- Monitoring Viewer (Monitoring-Betrachter) gewährt nur Lesezugriff.
Benutzerdefinierte Rollen
Sie können eine benutzerdefinierte Rolle erstellen, wenn Sie einem Hauptkonto eine begrenzte Anzahl von Berechtigungen erteilen möchten, als es bei vordefinierten Rollen der Fall ist.
Wenn Sie beispielsweise Assured Workloads einrichten, weil Sie Datenresistenz oder IL4-Anforderungen haben, sollten Sie keine Verfügbarkeitsdiagnosen verwenden, da es keine Garantie dafür gibt, dass Verfügbarkeitsdaten an einem bestimmten Standort gespeichert sind.
Erstellen Sie eine Rolle, die keine Berechtigungen mit dem Präfix monitoring.uptimeCheckConfigs enthält, um die Verwendung von Verfügbarkeitsdiagnosen zu verhindern.
So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:
Wählen Sie für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, eine der Berechtigungen aus dem Abschnitt API-Berechtigungen aus.
Wählen Sie für eine Rolle, die Berechtigungen für Monitoring in der Google Cloud Console gewährt, eine der Berechtigungsgruppen im Abschnitt Console-Berechtigungen für Monitoring aus.
Beziehen Sie für eine Rolle, mit der Monitoring-Daten geschrieben werden können, die Berechtigungen der Rolle
roles/monitoring.metricWriteraus dem Abschnitt Rollen ein.
Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.
Zugriffsbereiche für Compute Engine
Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:
| Zugriffsbereich | Gewährte Berechtigungen |
|---|---|
| https://www.googleapis.com/auth/monitoring.read | Die gleichen Berechtigungen wie in roles/monitoring.viewer. |
| https://www.googleapis.com/auth/monitoring.write | Die gleichen Berechtigungen wie in roles/monitoring.metricWriter. |
| https://www.googleapis.com/auth/monitoring | Vollzugriff auf Monitoring |
| https://www.googleapis.com/auth/cloud-platform | Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs |
Weitere Informationen finden Sie unter Zugriffsbereiche.
Best Practice: Da Dienstkonto-IAM-Rollen leicht zu konfigurieren und zu ändern sind, empfiehlt es sich, Ihren VM-Instanzen den umfassendsten Zugriffsbereich (cloud-platform) zu geben und dann über IAM-Rollen den Zugriff auf bestimmte APIs und Vorgänge. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.