Stackdriver Monitoring controla el acceso a los datos de supervisión en los lugares de trabajo mediante funciones y permisos de Cloud Identity and Access Management (Cloud IAM).
Descripción general
Para usar Monitoring, el lugar de trabajo debe tener otorgado los permisos de Cloud IAM adecuados.
En general, cada método REST en una API tiene un permiso asociado, y debes tener el permiso para usar el método correspondiente. Los permisos no se otorgan directamente a los usuarios. En cambio, los permisos se otorgan indirectamente a través de funciones, que agrupan varios permisos para facilitar su administración. Para obtener más información sobre estos conceptos, consulta la documentación de Cloud IAM sobre funciones, permisos y conceptos relacionados.
Las funciones para combinaciones comunes de permisos están predefinidas, pero también puedes crear tus propias combinaciones de permisos con las funciones personalizadas de Cloud IAM.
Funciones predefinidas
Las siguientes funciones de Cloud IAM están predefinidas por Stackdriver Monitoring. Estas otorgan permisos solo para Monitoring.
Monitoring
Las siguientes funciones otorgan permisos generales para Monitoring:
| ID de la función Nombre de la función |
Descripción |
|---|---|
roles/monitoring.viewerVisualizador de Monitoring |
Otorga acceso de solo lectura a la API y la consola de Stackdriver Monitoring |
roles/monitoring.editorEditor de Monitoring |
Otorga acceso de solo lectura y escritura a la consola y a la API de Stackdriver Monitoring, y te permite escribir datos de monitoreo en un lugar de trabajo |
roles/monitoring.adminAdministrador de Monitoring |
Otorga acceso completo a todas las funciones de Monitoring |
Las cuentas de servicio usan la siguiente función para el acceso de solo escritura:
| ID de la función Nombre de la función |
Descripción |
|---|---|
roles/monitoring.metricWriterEscritor de métricas de Monitoring |
Permite escribir datos de Monitoring en un lugar de trabajo, pero no permite el acceso a la consola de Stackdriver Monitoring. Para cuentas de servicio. |
Políticas de alertas
Las siguientes funciones otorgan permisos solo para políticas de alertas:
| ID de la función Nombre de la función |
Descripción |
|---|---|
roles/monitoring.alertPolicyViewerVisualizador de políticas de alertas de Monitoring |
Otorga acceso de solo lectura a las políticas de alertas |
roles/monitoring.alertPolicyEditorEditor de políticas de alertas de Monitoring |
Otorga acceso de lectura y escritura a las políticas de alertas |
Paneles
Las siguientes funciones otorgan permisos solo para los paneles:
| ID de la función Nombre de la función |
Descripción |
|---|---|
roles/monitoring.dashboardViewerVisualizador de configuración del panel de Monitoring |
Otorga acceso de solo lectura a la configuración del panel |
roles/monitoring.dashboardEditorEditor de configuración del panel de Monitoring |
Otorga acceso de lectura y escritura a la configuración del panel |
Canales de notificación
Las siguientes funciones otorgan permisos solo para los canales de notificaciones:
| ID de la función Nombre de la función |
Descripción |
|---|---|
roles/monitoring.notificationChannelViewerVisualizador de canales de notificaciones de Monitoring |
Otorga acceso de solo lectura a los canales de notificaciones |
roles/monitoring.notificationChannelEditorEditor de canales de notificaciones de Monitoring |
Otorga acceso de lectura y escritura a los canales de notificaciones. |
Supervisión de servicios
Las siguientes funciones otorgan permisos para administrar servicios:
| ID de la función Nombre de la función |
Descripción |
|---|---|
roles/monitoring.servicesViewerVisualizador de servicios de Monitoring |
Otorga acceso de solo lectura a los servicios |
roles/monitoring.servicesEditorEditor de servicios de Monitoring |
Otorga acceso de lectura y escritura a los servicios |
Para obtener más información sobre la supervisión de servicios, consulta Supervisión de servicios: cómo trabajar con la API.
Configuración de verificaciones de tiempo de actividad
Las siguientes funciones otorgan permisos solo para la configuración de verificaciones de tiempo de actividad:
| ID de la función Nombre de la función |
Descripción |
|---|---|
roles/monitoring.uptimeCheckConfigViewerVisualizador de configuración de verificaciones de tiempo de actividad de Monitoring |
Otorga acceso de solo lectura a la configuración de verificaciones de tiempo de actividad |
roles/monitoring.uptimeCheckConfigEditorEditor de configuración de verificaciones de tiempo de actividad de Monitoring |
Otorga acceso de lectura y escritura a la configuración de verificaciones del tiempo de actividad |
Google Cloud
Las siguientes funciones otorgan permisos para muchos servicios y recursos en Google Cloud, incluido Monitoring:
| ID de la función Nombre de la función |
Descripción |
|---|---|
roles/viewerVisualizador del proyecto |
Otorga acceso de solo lectura a la API y la consola de Stackdriver Monitoring |
roles/editorEditor del proyecto |
Otorga acceso de solo escritura a la API y la consola de Stackdriver Monitoring |
roles/ownerPropietario del proyecto |
Otorga acceso completo a la API y la consola de Stackdriver Monitoring |
Funciones personalizadas
También puedes crear tus propias funciones personalizadas que contengan listas de permisos. Para obtener más detalles acerca de las funciones y los permisos, ve a Permisos y funciones y Funciones personalizadas en esta página.
Permisos y funciones
En esta sección, se enumeran los permisos y funciones de Cloud IAM que se aplican a Monitoring.
Permisos de la API
Cada método de la API de Monitoring requiere un permiso específico de Cloud IAM, como se muestra en la siguiente tabla.
| Método de la API de Monitoring | Permiso | Tipo de recurso |
|---|---|---|
projects.alertPolicies.create |
monitoring.alertPolicies.create |
proyecto1 |
projects.alertPolicies.delete |
monitoring.alertPolicies.delete |
AlertPolicy |
projects.alertPolicies.get |
monitoring.alertPolicies.get |
AlertPolicy |
projects.alertPolicies.list |
monitoring.alertPolicies.list |
proyecto1 |
projects.alertPolicies.patch |
monitoring.alertPolicies.update |
AlertPolicy |
projects.dashboards.create |
monitoring.dashboards.create |
proyecto1 |
projects.dashboards.delete |
monitoring.dashboards.delete |
proyecto1 |
projects.dashboards.get |
monitoring.dashboards.get |
proyecto1 |
projects.dashboards.list |
monitoring.dashboards.list |
proyecto1 |
projects.dashboards.patch |
monitoring.dashboards.update |
proyecto1 |
projects.groups.create |
monitoring.groups.create |
proyecto1 |
projects.groups.delete |
monitoring.groups.delete |
Group |
projects.groups.get |
monitoring.groups.get |
Group |
projects.groups.list |
monitoring.groups.list |
proyecto1 |
projects.groups.update |
monitoring.groups.update |
Group |
projects.groups.members.list |
monitoring.groups.get |
Group |
projects.metricDescriptors.create |
monitoring.metricDescriptors.create |
proyecto |
projects.metricDescriptors.delete |
monitoring.metricDescriptors.delete |
MetricDescriptor |
projects.metricDescriptors.get |
monitoring.metricDescriptors.get |
MetricDescriptor |
projects.metricDescriptors.list |
monitoring.metricDescriptors.list |
proyecto |
projects.monitoredResourceDescriptors.get |
monitoring.monitoredResourceDescriptors.get |
MonitoredResourceDescriptor |
projects.monitoredResourceDescriptors.list |
monitoring.monitoredResourceDescriptors.list |
proyecto |
projects.notificationChannelDescriptors.get |
monitoring.notificationChannelDescriptors.get |
NotificationChannelDescriptor |
projects.notificationChannelDescriptors.list |
monitoring.notificationChannelDescriptors.list |
proyecto1 |
projects.notificationChannels.create |
monitoring.notificationChannels.create |
proyecto1 |
projects.notificationChannels.delete |
monitoring.notificationChannels.delete |
NotificationChannel |
projects.notificationChannels.get |
monitoring.notificationChannels.get |
NotificationChannel |
projects.notificationChannels.getVerificationCode |
monitoring.notificationChannels.getVerificationCode |
NotificationChannel |
projects.notificationChannels.list |
monitoring.notificationChannels.list |
proyecto1 |
projects.notificationChannels.patch |
monitoring.notificationChannels.update |
NotificationChannel |
projects.notificationChannels.sendVerificationCode |
monitoring.notificationChannels.sendVerificationCode |
NotificationChannel |
projects.notificationChannels.verify |
monitoring.notificationChannels.verify |
NotificationChannel |
projects.services.create |
monitoring.services.create |
proyecto1 |
projects.services.delete |
monitoring.services.delete |
Service |
projects.services.get |
monitoring.services.get |
Service |
projects.services.list |
monitoring.services.list |
proyecto1 |
projects.services.patch |
monitoring.services.update |
Service |
projects.services.serviceLevelObjectives.create |
monitoring.slos.create |
proyecto1 |
projects.services.serviceLevelObjectives.delete |
monitoring.slos.delete |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.get |
monitoring.slos.get |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.list |
monitoring.slos.list |
proyecto1 |
projects.services.serviceLevelObjectives.patch |
monitoring.slos.update |
ServiceLevelObjective |
projects.timeSeries.create |
monitoring.timeSeries.create |
proyecto |
projects.timeSeries.list |
monitoring.timeSeries.list |
proyecto |
projects.uptimeCheckConfigs.create |
monitoring.uptimeCheckConfigs.create |
UptimeCheckConfig |
projects.uptimeCheckConfigs.delete |
monitoring.uptimeCheckConfigs.delete |
UptimeCheckConfig |
projects.uptimeCheckConfigs.get |
monitoring.uptimeCheckConfigs.get |
UptimeCheckConfig |
projects.uptimeCheckConfigs.list |
monitoring.uptimeCheckConfigs.list |
UptimeCheckConfig |
projects.uptimeCheckConfigs.patch |
monitoring.uptimeCheckConfigs.update |
UptimeCheckConfig |
-> 1 El proyecto debe estar en un lugar de trabajo.
Permisos de la consola de Stackdriver Monitoring
Cada característica de la consola de Stackdriver Monitoring requiere que tengas el permiso para la API que se usa con el fin de implementarla. Por ejemplo, la capacidad de explorar grupos requiere que tengas permiso para los métodos list y get aplicables a grupos y miembros del grupo.
Es posible que la consola de Stackdriver Monitoring pierda funcionalidad si se revocan los permisos necesarios.
En la siguiente tabla, se enumeran los permisos necesarios para usar la consola de Stackdriver Monitoring:
| Actividad de la consola de Stackdriver Monitoring | Permisos necesarios | Para el tipo de recurso |
|---|---|---|
| Acceso completo de solo lectura | El conjunto de permisos incluidos en la función roles/monitoring.viewer |
proyecto1 |
| Consola de acceso de lectura y escritura | El conjunto de permisos incluidos en la función roles/monitoring.editor |
proyecto1 |
| Acceso completo a la consola | El conjunto de permisos incluidos en la función roles/monitoring.admin |
proyecto1 |
1 El proyecto debe estar en un lugar de trabajo.
Funciones
En la siguiente tabla, se enumeran las funciones de Cloud IAM que otorgan acceso a Monitoring y los permisos asociados con cada función.
Varias de estas funciones están graduadas: por ejemplo, la función roles/monitoring.editor incluye todos los permisos de la función roles/monitoring.viewer, más un conjunto adicional de permisos.
Las funciones se pueden asignar solo a nivel de proyecto y los proyectos deben estar en los lugares de trabajo.
Monitoring
Las funciones de Monitoring incluyen los siguientes permisos:
| ID de la función Nombre de la función |
Permisos incluidos |
|---|---|
roles/monitoring.viewerVisualizador de Monitoring |
monitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.analyzedMetrics.get1monitoring.analyzedMetrics.list1monitoring.dashboards.getmonitoring.dashboards.listmonitoring.groups.getmonitoring.groups.listmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.listmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listopsconfigmonitoring.resourceMetadata.listresourcemanager.projects.getresourcemanager.projects.liststackdriver.projects.get
|
roles/monitoring.editorEditor de Monitoring |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.updatemonitoring.analyzedMetrics.create1monitoring.analyzedMetrics.delete1monitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.updatemonitoring.groups.createmonitoring.groups.deletemonitoring.groups.getmonitoring.groups.listmonitoring.groups.updatemonitoring.metricDescriptors.createmonitoring.metricDescriptors.deletemonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verifymonitoring.publicWidgets.createmonitoring.publicWidgets.deletemonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.publicWidgets.updatemonitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.updatemonitoring.timeSeries.createmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.updateopsconfigmonitoring.resourceMetadata.writeresourcemanager.projects.getresourcemanager.projects.liststackdriver.projects.editstackdriver.projects.getstackdriver.resourceMetadata.write
|
roles/monitoring.adminAdministrador de Monitoring |
Los permisos en roles/monitoring.editor, más lo siguiente:monitoring.notificationChannels.getVerificationCode |
1 Estos permisos están presentes para lograr compatibilidad con la consola de Stackdriver Monitoring. No se pueden usar en funciones personalizadas.
Las cuentas de servicio usan la siguiente función para el acceso de solo escritura:
| ID de la función Nombre de la función |
Permisos incluidos |
|---|---|
roles/monitoring.metricWriterEscritor de métricas de Monitoring |
monitoring.metricDescriptors.createmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.timeSeries.create
|
Políticas de alertas
Las funciones de política de alertas incluyen los siguientes permisos:
| ID de la función Nombre de la función |
Permisos incluidos |
|---|---|
roles/monitoring.alertPolicyViewerVisualizador de políticas de alertas de Monitoring |
monitoring.alertPolicies.getmonitoring.alertPolicies.list |
roles/monitoring.alertPolicyEditorEditor de políticas de alertas de Monitoring |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.update |
Paneles
Las funciones de paneles incluyen estos permisos:
| ID de la función Nombre de la función |
Permisos incluidos |
|---|---|
roles/monitoring.dashboardsViewerVisualizador de configuración del panel de Monitoring |
monitoring.dashboards.getmonitoring.dashboards.list |
roles/monitoring.dashboardsEditorEditor de configuración del panel de Monitoring |
monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.update |
Canales de notificación
Las funciones de los canales de notificación incluyen los siguientes permisos:
| ID de la función Nombre de la función |
Permisos incluidos |
|---|---|
roles/monitoring.notificationChannelViewerVisualizador de canales de notificaciones de Monitoring |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.list |
roles/monitoring.notificationChannelEditorEditor de canales de notificaciones de Monitoring |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verify |
Supervisión de servicios
Las funciones de supervisión de servicios incluyen estos permisos:
| ID de la función Nombre de la función |
Permisos incluidos |
|---|---|
roles/monitoring.servicesViewerVisualizador de servicios de Monitoring |
monitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.list |
roles/monitoring.servicesEditorEditor de servicios de Monitoring |
monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.update |
Configuración de verificaciones de tiempo de actividad
Las funciones de configuración de verificaciones de tiempo de actividad incluyen estos permisos:
| ID de la función Nombre de la función |
Permisos incluidos |
|---|---|
roles/monitoring.uptimeCheckConfigViewerVisualizador de configuración de verificaciones de tiempo de actividad de Monitoring |
monitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.list |
roles/monitoring.uptimeCheckConfigEditorEditor de configuración de verificaciones de tiempo de actividad de Monitoring |
monitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.update |
Google Cloud
Las funciones de Google Cloud incluyen estos permisos:
| ID de la función Nombre de la función |
Permisos incluidos |
|---|---|
roles/viewerVisualizador del proyecto |
Los permisos de Monitoring son los mismos que los de roles/monitoring.viewer. |
roles/editorEditor del proyecto |
Los permisos de Monitoring son los mismos que los de roles/monitoring.editor. |
roles/ownerPropietario del proyecto |
Los permisos de Monitoring son los mismos que los de roles/editor. |
Otorga funciones de Cloud IAM
Los propietarios del proyecto, los editores y las cuentas de servicio predeterminadas de Compute Engine y App Engine ya tienen los permisos necesarios. Sin embargo, para otras cuentas de usuario, es posible que debas otorgar estas funciones de forma explícita.
Por ejemplo, para que una cuenta de usuario lea o escriba descriptores de métricas mediante la API de Monitoring, ese usuario debe tener los permisos monitoring.metricDescriptors.* de Cloud IAM adecuados. Para ello, otorga las funciones predefinidas de Visualizador de Monitoring (roles/monitoring.viewer) y Editor de Monitoring (roles/monitoring.editor).
Para obtener más información, consulta los permisos de la API.
Estos permisos se pueden otorgar con la herramienta de línea de comandos de gcloud de SDK de Cloud o con Google Cloud Console (Cloud Console).
SDK de Cloud
Usa el comando gcloud projects add-iam-policy-binding para otorgar la función monitoring.viewer o monitoring.editor.
Por ejemplo:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Puedes confirmar las funciones otorgadas con el comando gcloud projects get-iam-policy:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Cloud Console
Visita Cloud Console:
Si es necesario, haz clic en la lista desplegable de proyectos de Google Cloud y selecciona el nombre del proyecto en el que deseas habilitar la API.
Para expandir el menú de navegación, haz clic en Menú menú.
Haz clic en IAM y administración.
Si el usuario no está presente, haz clic en el botón Agregar y luego en la lista desplegable junto a Seleccionar una función. De lo contrario, haz clic en el botón de activación en la columna Funciones junto al usuario existente cuyos permisos deseas editar.
En el panel Administrar funciones, mueve el puntero a la izquierda y desplázate hasta Monitoring.
En el panel Administrar funciones, mueve el puntero a la derecha y selecciona la función adecuada:
- La función Editor de Monitoring otorga acceso de lectura y escritura.
- La función Visualizador de Monitoring otorga acceso de solo lectura.
Funciones personalizadas
Para crear una función personalizada con permisos de Monitoring, realiza las siguientes acciones:
Para una función que otorgue permisos solo a la API de Monitoring, elige los permisos en la sección de Permisos de la API.
Para una función que otorgue permisos para la consola de Stackdriver Monitoring, elige uno de los grupos de permisos en la sección Permisos de la consola de Stackdriver Monitoring.
Para otorgar la capacidad de escribir datos de supervisión, incluye los permisos de la función
roles/monitoring.metricWriteren la sección Funciones.
Para obtener más información sobre las funciones personalizadas, consulta Comprende las funciones personalizadas de IAM.
Permisos de acceso de Compute Engine
Los niveles de acceso son el método heredado de especificar permisos para tus instancias de VM de Compute Engine. Los siguientes niveles de acceso se aplican a Monitoring:
| Nivel de acceso | Permisos otorgados |
|---|---|
| https://www.googleapis.com/auth/monitoring.read | Los mismos permisos que en roles/monitoring.viewer |
| https://www.googleapis.com/auth/monitoring.write | Los mismos permisos que en roles/monitoring.metricWriter |
| https://www.googleapis.com/auth/monitoring | Acceso completo a Monitoring |
| https://www.googleapis.com/auth/cloud-platform | Acceso completo a todas las API de Cloud habilitadas |
Para obtener más información, consulta Permisos de acceso.
Prácticas recomendadas: Debido a que las funciones de la cuenta de servicio de Cloud IAM son fáciles de configurar y cambiar, se recomienda configurar las instancias de VM con el alcance de acceso más eficaz (cloud-platform) y, luego, usar las funciones de Cloud IAM para restringir el acceso a operaciones y API específicas. Para obtener más información, consulta Permisos de la cuenta de servicio.