Auf dieser Seite werden IAM-Rollen und -Berechtigungen (Identitäts- und Zugriffsverwaltung) beschrieben, die von Cloud Monitoring verwendet werden. Diese Seite richtet sich an Administratoren, die Rollen und Berechtigungen konfigurieren und gewähren.
VPC Service Controls
Für einen noch besseren Zugriff auf Monitoringdaten verwenden Sie zusätzlich zu IAM VPC Service Controls.
VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einen Messwertbereich ändern oder einen Arbeitsbereich zu einem Dienstperimeter erstellen und ändern, der Cloud Monitoring-Ressourcen und -Dienste vor Anforderungen schützt, die außerhalb des Perimeters eingehen.
Weitere Informationen zu Dienstperimetern finden Sie unter Konfigurationsdokumentation für Dienstperimeter von VPC Service Controls.
Informationen zur Unterstützung von VPC Service Controls in Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.
Monitoring IAM – Übersicht
Für die Verwendung von Monitoring brauchen Sie die entsprechenden IAM-Berechtigungen.
Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Sie müssen die jeweilige Berechtigung haben, damit Sie die entsprechende Methode verwenden können. Berechtigungen werden Nutzern nicht direkt gewährt, sondern indirekt über Rollen. In Rollen sind mehrere Berechtigungen zusammengefasst, was die Verwaltung vereinfacht. Weitere Informationen zu diesen Konzepten finden Sie unter Konzepte der Zugriffsverwaltung.
Rollen für gängige Kombinationen von Berechtigungen sind für Sie vordefiniert. Sie können jedoch auch eigene Kombinationen von Berechtigungen erstellen. Dazu erstellen Sie benutzerdefinierte IAM-Rollen.
Vordefinierte Rollen
Die folgenden IAM-Rollen sind von Cloud Monitoring vordefiniert. Durch sie werden nur Berechtigungen für Monitoring gewährt.
Monitoring
Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.viewer† Monitoring-Betrachter† |
Gewährt Ihnen Lesezugriff auf Monitoring in der Google Cloud Console und API |
roles/monitoring.editorMonitoring-Bearbeiter |
Gewährt in der Google Cloud Console und der API Lese- und Schreibzugriff auf Monitoring und kann einen Messwertbereich ändern oder einen Arbeitsbereich erstellen und ändern. |
roles/monitoring.adminMonitoring-Administrator |
Sie erhalten vollen Zugriff auf Monitoring in der Google Cloud Console und können einen Messwertbereich ändern oder einen Arbeitsbereich erstellen und ändern. |
† Für die Datenmodelle des Hybrid- und Messwertbereichs reicht diese Rolle aus, um auf Cloud Monitoring zuzugreifen. Für das Datenmodell des Arbeitsbereichs reicht diese Rolle aus, um auf einen vorhandenen Arbeitsbereich zuzugreifen.
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.metricWriterMonitoring-Messwert-Autor |
Ermöglicht das Schreiben von Monitoring-Daten in einen Messwertbereich oder einen Arbeitsbereich; erlaubt keinen Zugriff auf Monitoring in der Google Cloud Console. Für Dienstkonten; |
Benachrichtigungsrichtlinien
Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungsrichtlinien gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.alertPolicyViewerBetrachter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lesezugriff auf Benachrichtigungsrichtlinien. |
roles/monitoring.alertPolicyEditorBearbeiter von Monitoring-Benachrichtigungsrichtlinien |
Gewährt Lese- und Schreibzugriff auf Benachrichtigungsrichtlinien. |
Dashboards
Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.dashboardViewerBetrachter von Monitoring-Dashboard-Konfigurationen |
Gewährt Lesezugriff auf Dashboard-Konfigurationen. |
roles/monitoring.dashboardEditorBearbeiter der Monitoring-Dashboard-Konfiguration |
Gewährt Lese-/Schreibzugriff auf Dashboard-Konfigurationen. |
Benachrichtigungskanäle
Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.notificationChannelViewerBetrachter von Monitoring-Benachrichtigungskanälen |
Gewährt Lesezugriff auf Benachrichtigungskanäle. |
roles/monitoring.notificationChannelEditorBearbeiter von Monitoring-Benachrichtigungskanälen |
Gewährt Lese- und Schreibzugriff auf Benachrichtigungskanäle. |
Dienst-Monitoring
Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.servicesViewerBetrachter von Monitoring-Diensten |
Gewährt Lesezugriff auf Dienste. |
roles/monitoring.servicesEditorBearbeiter von Monitoring-Diensten |
Gewährt Lese- und Schreibzugriff auf Dienste. |
Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.
Verfügbarkeitsdiagnosen-Konfigurationen
Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:
| Name Titel |
Beschreibung |
|---|---|
roles/monitoring.uptimeCheckConfigViewerBetrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lesezugriff auf Verfügbarkeitsdiagnosen-Konfigurationen. |
roles/monitoring.uptimeCheckConfigEditorBearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosen-Konfigurationen. |
Messwerte für Messwerte und Arbeitsbereiche
Zum Verwalten eines Messwertbereichs oder zum Erstellen oder Verwalten eines Arbeitsbereichs müssen Sie die Google Cloud Console verwenden. Informationen zu den Rollen, die zum Ändern eines Messwertbereichs erforderlich sind, oder zum Erstellen und Ändern eines Arbeitsbereichs finden Sie unter Vordefinierte Monitoring-Rollen.
Google Cloud
Durch die folgenden Rollen werden Berechtigungen für viele Dienste und Ressourcen in der Google Cloud gewährt, einschließlich Monitoring:
| Name Titel |
Berechtigungen |
|---|---|
roles/viewerBetrachter |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer. |
roles/editorBearbeiter |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.editor. |
roles/ownerInhaber |
Die Monitoring-Berechtigungen sind dieselben wie in roles/editor. |
Benutzerdefinierte Rollen
Sie können auch eigene, benutzerdefinierte Rollen erstellen, die bestimmte Berechtigungen beinhalten. Weitere Informationen zu Rollen und Berechtigungen finden Sie auf dieser Seite unter Berechtigungen und Rollen und Benutzerdefinierte Rollen.
Berechtigungen und Rollen
In diesem Abschnitt werden die IAM-Berechtigungen und -Rollen für Monitoring aufgeführt.
API-Berechtigungen
Für jede Monitoring API-Methode ist eine bestimmte IAM-Berechtigung erforderlich, wie in der folgenden Tabelle angegeben.
| Monitoring API-Methode | Berechtigung | Ressourcentyp |
|---|---|---|
projects.alertPolicies.create |
monitoring.alertPolicies.create |
Projekt1 |
projects.alertPolicies.delete |
monitoring.alertPolicies.delete |
AlertPolicy |
projects.alertPolicies.get |
monitoring.alertPolicies.get |
AlertPolicy |
projects.alertPolicies.list |
monitoring.alertPolicies.list |
Projekt1 |
projects.alertPolicies.patch |
monitoring.alertPolicies.update |
AlertPolicy |
projects.dashboards.create |
monitoring.dashboards.create |
Projekt1 |
projects.dashboards.delete |
monitoring.dashboards.delete |
Projekt1 |
projects.dashboards.get |
monitoring.dashboards.get |
Projekt1 |
projects.dashboards.list |
monitoring.dashboards.list |
Projekt1 |
projects.dashboards.patch |
monitoring.dashboards.update |
Projekt1 |
projects.groups.create |
monitoring.groups.create |
Projekt1 |
projects.groups.delete |
monitoring.groups.delete |
Group |
projects.groups.get |
monitoring.groups.get |
Group |
projects.groups.list |
monitoring.groups.list |
Projekt1 |
projects.groups.update |
monitoring.groups.update |
Group |
projects.groups.members.list |
monitoring.groups.get |
Group |
projects.metricDescriptors.create |
monitoring.metricDescriptors.create |
Projekt |
projects.metricDescriptors.delete |
monitoring.metricDescriptors.delete |
MetricDescriptor |
projects.metricDescriptors.get |
monitoring.metricDescriptors.get |
MetricDescriptor |
projects.metricDescriptors.list |
monitoring.metricDescriptors.list |
Projekt |
projects.monitoredResourceDescriptors.get |
monitoring.monitoredResourceDescriptors.get |
MonitoredResourceDescriptor |
projects.monitoredResourceDescriptors.list |
monitoring.monitoredResourceDescriptors.list |
Projekt |
projects.notificationChannelDescriptors.get |
monitoring.notificationChannelDescriptors.get |
NotificationChannelDescriptor |
projects.notificationChannelDescriptors.list |
monitoring.notificationChannelDescriptors.list |
Projekt1 |
projects.notificationChannels.create |
monitoring.notificationChannels.create |
Projekt1 |
projects.notificationChannels.delete |
monitoring.notificationChannels.delete |
NotificationChannel |
projects.notificationChannels.get |
monitoring.notificationChannels.get |
NotificationChannel |
projects.notificationChannels.getVerificationCode |
monitoring.notificationChannels.getVerificationCode |
NotificationChannel |
projects.notificationChannels.list |
monitoring.notificationChannels.list |
Projekt1 |
projects.notificationChannels.patch |
monitoring.notificationChannels.update |
NotificationChannel |
projects.notificationChannels.sendVerificationCode |
monitoring.notificationChannels.sendVerificationCode |
NotificationChannel |
projects.notificationChannels.verify |
monitoring.notificationChannels.verify |
NotificationChannel |
projects.services.create |
monitoring.services.create |
Projekt1 |
projects.services.delete |
monitoring.services.delete |
Service |
projects.services.get |
monitoring.services.get |
Service |
projects.services.list |
monitoring.services.list |
Projekt1 |
projects.services.patch |
monitoring.services.update |
Service |
projects.services.serviceLevelObjectives.create |
monitoring.slos.create |
Projekt1 |
projects.services.serviceLevelObjectives.delete |
monitoring.slos.delete |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.get |
monitoring.slos.get |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.list |
monitoring.slos.list |
Projekt1 |
projects.services.serviceLevelObjectives.patch |
monitoring.slos.update |
ServiceLevelObjective |
projects.timeSeries.create |
monitoring.timeSeries.create |
Projekt |
projects.timeSeries.list |
monitoring.timeSeries.list |
Projekt, Ordner, Organisation |
projects.timeSeries.query |
monitoring.timeSeries.list |
Projekt |
projects.uptimeCheckConfigs.create |
monitoring.uptimeCheckConfigs.create |
UptimeCheckConfig |
projects.uptimeCheckConfigs.delete |
monitoring.uptimeCheckConfigs.delete |
UptimeCheckConfig |
projects.uptimeCheckConfigs.get |
monitoring.uptimeCheckConfigs.get |
UptimeCheckConfig |
projects.uptimeCheckConfigs.list |
monitoring.uptimeCheckConfigs.list |
UptimeCheckConfig |
projects.uptimeCheckConfigs.patch |
monitoring.uptimeCheckConfigs.update |
UptimeCheckConfig |
1 Damit das Arbeitsbereich-Datenmodell verwendet werden kann, muss sich das Projekt in einem Arbeitsbereich befinden.
Konsolenberechtigungen für Monitoring
Für jede Funktion von Monitoring in der Google Cloud Console müssen Sie über die Berechtigung für die API verfügen, die zur Implementierung des Features verwendet wird. Für die Fähigkeit zum Suchen in Gruppen sind beispielsweise Berechtigungen für die Methoden list und get für Gruppen und Gruppenmitglieder erforderlich.
Sie können an Funktionalität einbüßen, wenn die erforderlichen Berechtigungen widerrufen werden.
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für die Verwendung des Monitoring in der Google Cloud Console erforderlich sind:
| Aktivität | Erforderliche Berechtigungen | Für Ressourcentyp |
|---|---|---|
| Vollständiger Lesezugriff | Die Berechtigungen, die in der Rolle roles/monitoring.viewer enthalten sind. |
Projekt1. |
| Lese- und Schreibzugriff auf die Konsole | Die Berechtigungen, die in der Rolle roles/monitoring.editor enthalten sind. |
Projekt1. |
| Vollständiger Zugriff auf die Konsole | Die Berechtigungen, die in der Rolle roles/monitoring.admin enthalten sind. |
Projekt1. |
1 Damit das Arbeitsbereich-Datenmodell verwendet werden kann, muss sich das Projekt in einem Arbeitsbereich befinden.
Rollen
Die folgende Tabelle enthält die IAM-Rollen, die Zugriff auf Monitoring gewähren, sowie die mit der jeweiligen Rolle verknüpften Berechtigungen.
Einige dieser Rollen bauen aufeinander auf: Die Rolle roles/monitoring.editor beinhaltet beispielsweise alle Berechtigungen der Rolle roles/monitoring.viewer und darüber hinaus zusätzliche Berechtigungen.
Rollen können nur auf Projektebene zugewiesen werden.
Monitoring
Die Monitoring-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.viewerMonitoring-Betrachter |
cloudnotifications.activities.listmonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.dashboards.getmonitoring.dashboards.listmonitoring.groups.getmonitoring.groups.listmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.listmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listresourcemanager.projects.getresourcemanager.projects.liststackdriver.projects.get
|
roles/monitoring.editorMonitoring-Bearbeiter |
cloudnotifications.activities.listmonitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.updatemonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.updatemonitoring.groups.createmonitoring.groups.deletemonitoring.groups.getmonitoring.groups.listmonitoring.groups.updatemonitoring.metricDescriptors.createmonitoring.metricDescriptors.deletemonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verifymonitoring.publicWidgets.createmonitoring.publicWidgets.deletemonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.publicWidgets.updatemonitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.updatemonitoring.timeSeries.createmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.updateopsconfigmonitoring.resourceMetadata.writeopsconfigmonitoring.resourceSnapshot.createresourcemanager.projects.getresourcemanager.projects.listserviceusage.services.enablestackdriver.projects.editstackdriver.projects.getstackdriver.resourceMetadata.write
|
roles/monitoring.adminMonitoring-Administrator |
Die Berechtigungen in roles/monitoring.editor sowie die folgende:monitoring.notificationChannels.getVerificationCode |
Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.metricWriterMonitoring-Messwert-Autor |
monitoring.metricDescriptors.createmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.timeSeries.create
|
Benachrichtigungsrichtlinien
Die Benachrichtigungsrichtlinien-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.alertPolicyViewerBetrachter von Monitoring-Benachrichtigungsrichtlinien |
monitoring.alertPolicies.getmonitoring.alertPolicies.list |
roles/monitoring.alertPolicyEditorBearbeiter von Monitoring-Benachrichtigungsrichtlinien |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.update |
Dashboards
Die Dashboard-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.dashboardViewerBetrachter von Monitoring-Dashboard-Konfigurationen |
monitoring.dashboards.getmonitoring.dashboards.list |
roles/monitoring.dashboardEditorBearbeiter von Monitoring-Dashboard-Konfigurationen |
monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.update |
Benachrichtigungskanäle
Die Benachrichtigungskanal-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.notificationChannelViewerBetrachter von Monitoring-Benachrichtigungskanälen |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.list |
roles/monitoring.notificationChannelEditorBearbeiter von Monitoring-Benachrichtigungskanälen |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verify |
Dienstmonitoring
Die Rollen für Dienst-Monitoring beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.servicesViewerBetrachter von Monitoring-Diensten |
monitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.list |
roles/monitoring.servicesEditorBearbeiter von Monitoring-Diensten |
monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.update |
Verfügbarkeitsdiagnosen-Konfigurationen
Die Rollen für Verfügbarkeitsdiagnosen-Konfigurationen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/monitoring.uptimeCheckConfigViewerBetrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
monitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.list |
roles/monitoring.uptimeCheckConfigEditorBearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen |
monitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.update |
Messwerte für Messwerte und Arbeitsbereiche
Zum Verwalten eines Messwertbereichs oder zum Erstellen oder Verwalten eines Arbeitsbereichs müssen Sie die Google Cloud Console verwenden. Informationen zu den Rollen, die zum Ändern eines Messwertbereichs erforderlich sind, oder zum Erstellen und Ändern eines Arbeitsbereichs finden Sie unter Vordefinierte Monitoring-Rollen.
Google Cloud
Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:
| Name Titel |
Berechtigungen |
|---|---|
roles/viewerBetrachter |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer. |
roles/editorBearbeiter |
Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.editor. |
roles/ownerInhaber |
Die Monitoring-Berechtigungen sind dieselben wie in roles/editor. |
IAM-Rollen zuweisen
Die Projektinhaber, Bearbeiter und Standarddienstkonten für Compute Engine und App Engine haben bereits die erforderlichen Berechtigungen. Bei anderen Nutzerkonten kann es jedoch erforderlich sein, diese Rollen explizit zuzuweisen.
Damit über ein Nutzerkonto beispielsweise mithilfe der Monitoring API Messwertdeskriptoren gelesen oder geschrieben werden können, muss der Nutzer die entsprechenden monitoring.metricDescriptors.*-IAM-Berechtigungen haben. Sie können diese bereitstellen, indem Sie die vordefinierten Rollen Monitoring Viewer (roles/monitoring.viewer, Monitoring-Betrachter) und Monitoring Editor (roles/monitoring.editor, Monitoring-Bearbeiter) erteilen.
Weitere Informationen finden Sie unter API-Berechtigungen.
Diese Berechtigungen können entweder mithilfe des gcloud-Befehlszeilentools des Cloud SDK oder der Google Cloud Console (Cloud Console) erteilt werden.
Cloud SDK
Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um die Rolle monitoring.viewer oder monitoring.editor zu erteilen.
Beispiel:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Mit dem Befehl gcloud projects get-iam-policy werden die zugewiesenen Rollen bestätigt:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Cloud Console
Zur Cloud Console:
Klicken Sie falls nötig auf die Drop-down-Liste der Google Cloud-Projekte und wählen Sie den Namen des Projekts aus, für das Sie die API aktivieren möchten.
Klicken Sie auf Menüarrow_drop_down, um das Navigationsmenü zu maximieren.
Klicken Sie auf IAM & Verwaltung.
Wenn der Nutzer Mitglied ist, klicken Sie auf Bearbeiten edit, um seine Berechtigungen zu ändern. Sie können die vorhandene Rolle ändern oder eine zusätzliche Rolle hinzufügen. Um die Änderungen zu speichern, klicken Sie auf Speichern.
Wenn der Nutzer kein Mitglied ist, gehen Sie so vor:
- Klicken Sie auf Hinzufügen.
- Geben Sie in das Feld Neue Mitglieder den Nutzernamen ein.
- Klicken Sie in Rolle auswählen auf Menü arrow_drop_down.
- Geben Sie in der Filterleiste filter_list die entsprechende Rolle ein:
- Monitoring Editor (Monitoring-Bearbeiter) gewährt Lese- und Schreibzugriff.
- Monitoring Viewer (Monitoring-Betrachter) gewährt nur Lesezugriff.
Benutzerdefinierte Rollen
So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:
Wählen Sie für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, eine der Berechtigungen aus dem Abschnitt API-Berechtigungen aus.
Wählen Sie für eine Rolle, die Berechtigungen für die Überwachung in der Google Cloud Console gewährt, im Abschnitt Konsolenberechtigungen für Monitoring eine Berechtigungsgruppe aus.
Beziehen Sie für eine Rolle, mit der Monitoring-Daten geschrieben werden können, die Berechtigungen der Rolle
roles/monitoring.metricWriteraus dem Abschnitt Rollen ein.
Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.
Zugriffsbereiche für Compute Engine
Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:
| Zugriffsbereich | Gewährte Berechtigungen |
|---|---|
| https://www.googleapis.com/auth/monitoring.read | Die gleichen Berechtigungen wie in roles/monitoring.viewer. |
| https://www.googleapis.com/auth/monitoring.write | Die gleichen Berechtigungen wie in roles/monitoring.metricWriter. |
| https://www.googleapis.com/auth/monitoring | Vollzugriff auf Monitoring |
| https://www.googleapis.com/auth/cloud-platform | Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs |
Weitere Informationen finden Sie unter Zugriffsbereiche.
Best Practice: Da Dienstkonto-IAM-Rollen leicht zu konfigurieren und zu ändern sind, empfiehlt es sich, Ihren VM-Instanzen den umfassendsten Zugriffsbereich (cloud-platform) zu geben und dann über IAM-Rollen den Zugriff auf bestimmte APIs und Vorgänge. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.