En este documento, se describen las funciones y los permisos de la administración de identidades y accesos (IAM) que usa Cloud Monitoring. Está destinado a los administradores que configuran y otorgan funciones y permisos.
Controles del servicio de VPC
Para tener más control sobre el acceso a los datos de supervisión, usa los Controles del servicio de VPC además de IAM.
Los Controles del servicio de VPC brindan seguridad adicional para Cloud Monitoring a fin de mitigar el riesgo de robo de datos. Si usas los Controles del servicio de VPC, puedes agregar un permiso de métricas a un perímetro de servicio que proteja los recursos y servicios de Cloud Monitoring de las solicitudes que se originan fuera del perímetro.
Para obtener más información sobre los perímetros de servicio, consulta la documentación de configuración del perímetro de servicio de los Controles del servicio de VPC.
Para obtener información sobre la compatibilidad de Monitoring con los controles del servicio de VPC, incluidas las limitaciones conocidas, consulta la documentación de los controles del servicio de VPC.
Descripción general de IAM de Monitoring
Para usar Monitoring, debes tener los permisos de IAM adecuados.
En general, cada método REST en una API tiene un permiso asociado y debes tener el permiso para usar el método correspondiente. Los permisos no se otorgan directamente a los usuarios. En cambio, los permisos se otorgan indirectamente a través de funciones, que agrupan varios permisos para facilitar su administración. Si deseas obtener más información sobre estos conceptos, consulta Conceptos relacionados con la administración del acceso.
Las funciones para combinaciones comunes de permisos están predefinidas, pero también puedes crear tus propias combinaciones de permisos si creas funciones personalizadas de IAM.
Funciones predefinidas
Las siguientes funciones de IAM están predefinidas por Cloud Monitoring. Estas otorgan permisos solo para Monitoring.
Monitoring
Las siguientes funciones otorgan permisos para Monitoring:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.viewerVisualizador de Monitoring |
Otorga acceso de solo lectura a Monitoring en Google Cloud Console y la API. |
roles/monitoring.editorEditor de Monitoring |
Otorga acceso de lectura y escritura a Monitoring en Google Cloud Console y la API, y otorga acceso de lectura y escritura a un permiso de métricas cuando se usa la consola. El acceso de escritura a un alcance de métricas otorga permiso para agregar (o quitar) proyectos supervisados de Google Cloud a ese alcance de métricas. |
roles/monitoring.adminAdministrador de Monitoring |
Otorga acceso completo a Monitoring en Google Cloud Console y a la API y otorga acceso de lectura y escritura a un alcance de métricas. El acceso de escritura a un alcance de métricas otorga permiso para agregar (o quitar) proyectos supervisados de Google Cloud a ese alcance de métricas. |
Las cuentas de servicio usan la siguiente función para el acceso de solo escritura:
| Título del nombre |
Descripción |
|---|---|
roles/monitoring.metricWriterEscritor de métricas de Monitoring |
Permite escribir datos de supervisión en un permiso de métricas. No permite el acceso a Monitoring en Google Cloud Console. Esta función es para agentes y cuentas de servicio. |
Políticas de alertas
Las siguientes funciones otorgan permisos para las políticas de alertas:
| Título del nombre |
Descripción |
|---|---|
roles/monitoring.alertPolicyViewerVisualizador de políticas de alertas de Monitoring |
Otorga acceso de solo lectura a las políticas de alertas. |
roles/monitoring.alertPolicyEditorEditor de políticas de alertas de Monitoring |
Otorga acceso de lectura y escritura a las políticas de alertas. |
Paneles
Las siguientes funciones otorgan permisos solo para los paneles:
| Título del nombre |
Descripción |
|---|---|
roles/monitoring.dashboardViewerVisualizador de configuración del panel de Monitoring |
Otorga acceso de solo lectura a la configuración del panel. |
roles/monitoring.dashboardEditorEditor de configuración del panel de Monitoring |
Otorga acceso de lectura y escritura a las configuraciones del panel. |
Incidents
Las siguientes funciones otorgan permisos generales para ver los incidentes:
| Título del nombre |
Descripción |
|---|---|
roles/monitoring.viewerVisualizador de Monitoring |
Otorga acceso para ver los incidentes. |
roles/monitoring.editorEditor de Monitoring |
Otorga acceso para ver, confirmar y cerrar incidentes. |
roles/monitoring.adminAdministrador de Monitoring |
Otorga acceso para ver, confirmar y cerrar incidentes. |
Para ver los detalles de un incidente, debes tener, como mínimo, la función de administración de identidades y accesos de roles/monitoring.viewer.
Para obtener más información, consulta No se pueden ver los detalles del incidente debido a un error de permiso.
Canales de notificaciones
Las siguientes funciones otorgan permisos solo para los canales de notificaciones:
| Título del nombre |
Descripción |
|---|---|
roles/monitoring.notificationChannelViewerVisualizador de canales de notificaciones de Monitoring |
Otorga acceso de solo lectura a los canales de notificación. |
roles/monitoring.notificationChannelEditorEditor de canales de notificaciones de Monitoring |
Otorga acceso de lectura y escritura a los canales de notificación. |
Cómo posponer las notificaciones
Las siguientes funciones otorgan permisos para posponer notificaciones:
| Título del nombre |
Descripción |
|---|---|
roles/monitoring.alertPolicyViewerVisualizador de políticas de alertas de Monitoring |
Otorga acceso de solo lectura a las políticas de alertas y a las alertas pospuestas. |
roles/monitoring.alertPolicyEditorEditor de políticas de alertas de Monitoring |
Otorga acceso de lectura y escritura a las políticas de alertas y a las alertas pospuestas. |
Supervisión de servicios
Las siguientes funciones otorgan permisos para administrar servicios:
| Título del nombre |
Descripción |
|---|---|
roles/monitoring.servicesViewerVisualizador de servicios de Monitoring |
Otorga acceso de solo lectura a los servicios. |
roles/monitoring.servicesEditorEditor de servicios de Monitoring |
Otorga acceso de lectura y escritura a los servicios. |
Para obtener más información sobre la supervisión de servicios, consulta Supervisión de SLO.
Configuración de verificaciones de tiempo de actividad
Las siguientes funciones otorgan permisos solo para la configuración de verificaciones de tiempo de actividad:
| Título del nombre |
Descripción |
|---|---|
roles/monitoring.uptimeCheckConfigViewerVisualizador de configuración de verificaciones de tiempo de actividad de Monitoring |
Otorga acceso de solo lectura a la configuración de verificaciones de tiempo de actividad. |
roles/monitoring.uptimeCheckConfigEditorEditor de configuración de verificaciones de tiempo de actividad de Monitoring |
Otorga acceso de lectura y escritura a la configuración de verificaciones de tiempo de actividad. |
Configuración de los permisos de las métricas
Las siguientes funciones otorgan permisos generales para los permisos de métricas:
| Título del nombre |
Descripción |
|---|---|
roles/monitoring.metricsScopesViewerVisualizador de permisos de métricas de supervisión |
Otorga acceso de solo lectura a los permisos de las métricas. |
roles/monitoring.metricsScopesAdminAdministrador de permisos de métricas de supervisión |
Otorga acceso de lectura y escritura a los permisos de las métricas. |
Google Cloud
Las siguientes funciones otorgan permisos para muchos servicios y recursos en Google Cloud, incluido Monitoring:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/viewerVisualizador |
Los permisos de Monitoring son exactamente los permisos en roles/monitoring.viewer.
|
roles/editorEditor |
Los permisos de Monitoring son los mismos que en Esta función no otorga permiso para modificar el alcance de una métrica.
Para modificar el permiso de una métrica cuando usas la API, tu función debe incluir el permiso |
roles/ownerPropietario |
Los permisos de Monitoring son los mismos que los de roles/monitoring.admin.
|
Funciones personalizadas
También puedes crear tus propias funciones personalizadas que contengan listas de permisos. Para obtener más detalles acerca de las funciones y los permisos, ve a Permisos y funciones y Funciones personalizadas en esta página.
Permisos y funciones
En esta sección, se enumeran los permisos y funciones de IAM que se aplican a Monitoring.
Permisos de la API
Cada método API de Monitoring requiere un permiso de IAM específico, como se muestra en la siguiente tabla.
| Método de la API de Monitoring | Permiso | Tipo de recurso |
|---|---|---|
projects.alertPolicies.create |
monitoring.alertPolicies.create |
proyecto |
projects.alertPolicies.delete |
monitoring.alertPolicies.delete |
AlertPolicy |
projects.alertPolicies.get |
monitoring.alertPolicies.get |
AlertPolicy |
projects.alertPolicies.list |
monitoring.alertPolicies.list |
project |
projects.alertPolicies.patch |
monitoring.alertPolicies.update |
AlertPolicy |
projects.dashboards.create |
monitoring.dashboards.create |
project |
projects.dashboards.delete |
monitoring.dashboards.delete |
project |
projects.dashboards.get |
monitoring.dashboards.get |
project |
projects.dashboards.list |
monitoring.dashboards.list |
project |
projects.dashboards.patch |
monitoring.dashboards.update |
project |
projects.groups.create |
monitoring.groups.create |
project |
projects.groups.delete |
monitoring.groups.delete |
Group |
projects.groups.get |
monitoring.groups.get |
Group |
projects.groups.list |
monitoring.groups.list |
project |
projects.groups.update |
monitoring.groups.update |
Group |
projects.groups.members.list |
monitoring.groups.get |
Group |
projects.metricDescriptors.create |
monitoring.metricDescriptors.create |
project |
projects.metricDescriptors.delete |
monitoring.metricDescriptors.delete |
MetricDescriptor |
projects.metricDescriptors.get |
monitoring.metricDescriptors.get |
MetricDescriptor |
projects.metricDescriptors.list |
monitoring.metricDescriptors.list |
project |
projects.monitoredResourceDescriptors.get |
monitoring.monitoredResourceDescriptors.get |
MonitoredResourceDescriptor |
projects.monitoredResourceDescriptors.list |
monitoring.monitoredResourceDescriptors.list |
project |
projects.notificationChannelDescriptors.get |
monitoring.notificationChannelDescriptors.get |
NotificationChannelDescriptor |
projects.notificationChannelDescriptors.list |
monitoring.notificationChannelDescriptors.list |
project |
projects.notificationChannels.create |
monitoring.notificationChannels.create |
project |
projects.notificationChannels.delete |
monitoring.notificationChannels.delete |
NotificationChannel |
projects.notificationChannels.get |
monitoring.notificationChannels.get |
NotificationChannel |
projects.notificationChannels.getVerificationCode |
monitoring.notificationChannels.getVerificationCode |
NotificationChannel |
projects.notificationChannels.list |
monitoring.notificationChannels.list |
project |
projects.notificationChannels.patch |
monitoring.notificationChannels.update |
NotificationChannel |
projects.notificationChannels.sendVerificationCode |
monitoring.notificationChannels.sendVerificationCode |
NotificationChannel |
projects.notificationChannels.verify |
monitoring.notificationChannels.verify |
NotificationChannel |
projects.services.create |
monitoring.services.create |
project |
projects.services.delete |
monitoring.services.delete |
Service |
projects.services.get |
monitoring.services.get |
Service |
projects.services.list |
monitoring.services.list |
project |
projects.services.patch |
monitoring.services.update |
Service |
projects.services.serviceLevelObjectives.create |
monitoring.slos.create |
project |
projects.services.serviceLevelObjectives.delete |
monitoring.slos.delete |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.get |
monitoring.slos.get |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.list |
monitoring.slos.list |
project |
projects.services.serviceLevelObjectives.patch |
monitoring.slos.update |
ServiceLevelObjective |
projects.timeSeries.create |
monitoring.timeSeries.create |
project |
projects.timeSeries.list |
monitoring.timeSeries.list |
proyecto, carpeta, organización |
projects.timeSeries.query |
monitoring.timeSeries.list |
proyecto |
projects.uptimeCheckConfigs.create |
monitoring.uptimeCheckConfigs.create |
UptimeCheckConfig |
projects.uptimeCheckConfigs.delete |
monitoring.uptimeCheckConfigs.delete |
UptimeCheckConfig |
projects.uptimeCheckConfigs.get |
monitoring.uptimeCheckConfigs.get |
UptimeCheckConfig |
projects.uptimeCheckConfigs.list |
monitoring.uptimeCheckConfigs.list |
UptimeCheckConfig |
projects.uptimeCheckConfigs.patch |
monitoring.uptimeCheckConfigs.update |
UptimeCheckConfig |
locations.global.metricsScopes.get |
resourcemanager.projects.get |
project |
locations.global.metricsScopes/listMetricScopesByMonitoredProject |
resourcemanager.projects.get |
project |
locations.global.metricsScopes.projects.create |
monitoring.metricsScopes.link |
project |
locations.global.metricsScopes.projects.delete |
monitoring.metricsScopes.link |
proyecto |
Permisos de Console para Monitoring
Cada función de Monitoring en Google Cloud Console requiere que tengas el permiso para la API que se usa a fin de implementar la función. Por ejemplo, la capacidad de explorar grupos requiere que tengas permiso para los métodos list y get aplicables a grupos y miembros del grupo.
Es posible que pierdas la funcionalidad si se revocan los permisos necesarios.
En la siguiente tabla, se enumeran los permisos necesarios para usar Monitoring en Google Cloud Console:
| Actividad | Permisos necesarios | Para el tipo de recurso |
|---|---|---|
| Acceso de solo lectura | El conjunto de permisos incluidos en la función roles/monitoring.viewer |
project. |
| Consola de acceso de lectura y escritura | El conjunto de permisos incluidos en la función roles/monitoring.editor |
project. |
| Acceso completo a la consola | El conjunto de permisos incluidos en la función roles/monitoring.admin |
project. |
Roles
En la siguiente tabla, se enumeran las funciones de IAM que otorgan acceso a Monitoring y los permisos asociados con cada función.
Varias de estas funciones están graduadas: por ejemplo, la función roles/monitoring.editor incluye todos los permisos de la función roles/monitoring.viewer, más un conjunto adicional de permisos.
Las funciones se pueden asignar solo a nivel de proyecto.
Supervisión
Las funciones de Monitoring incluyen los siguientes permisos:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.viewerVisualizador de Monitoring |
cloudnotifications.activities.listmonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.dashboards.getmonitoring.dashboards.listmonitoring.groups.getmonitoring.groups.listmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.listmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listopsconfigmonitoring.resourceMetadata.listresourcemanager.projects.getresourcemanager.projects.liststackdriver.projects.get
|
roles/monitoring.editorEditor de Monitoring |
cloudnotifications.activities.listmonitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.updatemonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.updatemonitoring.groups.createmonitoring.groups.deletemonitoring.groups.getmonitoring.groups.listmonitoring.groups.updatemonitoring.metricDescriptors.createmonitoring.metricDescriptors.deletemonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verifymonitoring.publicWidgets.createmonitoring.publicWidgets.deletemonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.publicWidgets.updatemonitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.updatemonitoring.timeSeries.createmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.updateopsconfigmonitoring.resourceMetadata.writeopsconfigmonitoring.resourceSnapshot.createresourcemanager.projects.getresourcemanager.projects.listserviceusage.services.enablestackdriver.projects.editstackdriver.projects.getstackdriver.resourceMetadata.write
|
roles/monitoring.adminAdministrador de Monitoring |
Los permisos en roles/monitoring.editor, además de lo siguiente:monitoring.notificationChannels.getVerificationCodemonitoring.metricsScopes.link |
Las cuentas de servicio usan la siguiente función para el acceso de solo escritura:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.metricWriterEscritor de métricas de Monitoring |
monitoring.metricDescriptors.createmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.timeSeries.create
|
Políticas de alertas
Las funciones de política de alertas incluyen los siguientes permisos:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.alertPolicyViewerVisualizador de políticas de alertas de Monitoring |
monitoring.alertPolicies.getmonitoring.alertPolicies.list |
roles/monitoring.alertPolicyEditorEditor de políticas de alertas de Monitoring |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.update |
Paneles
Las funciones de paneles incluyen estos permisos:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.dashboardViewerVisualizador de configuración del panel de Monitoring |
monitoring.dashboards.getmonitoring.dashboards.list |
roles/monitoring.dashboardEditorEditor de configuración del panel de Monitoring |
monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.update |
Canales de notificaciones
Las funciones de los canales de notificación incluyen los siguientes permisos:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.notificationChannelViewerVisualizador de canales de notificaciones de Monitoring |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.list |
roles/monitoring.notificationChannelEditorEditor de canales de notificaciones de Monitoring |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verify |
Notificaciones de Sooze
Las funciones de política de alertas incluyen los permisos necesarios para ver o crear alertas pospuestas.
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.alertPolicyViewerVisualizador de políticas de alertas de Monitoring |
monitoring.alertPolicies.getmonitoring.alertPolicies.list |
roles/monitoring.alertPolicyEditorEditor de políticas de alertas de Monitoring |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.update |
Supervisión de servicios
Las funciones de supervisión de servicios incluyen estos permisos:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.servicesViewerVisualizador de servicios de Monitoring |
monitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.list |
roles/monitoring.servicesEditorEditor de servicios de Monitoring |
monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.update |
Configuración de verificaciones de tiempo de actividad
Las funciones de configuración de verificaciones de tiempo de actividad incluyen estos permisos:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.uptimeCheckConfigViewerVisualizador de configuración de verificaciones de tiempo de actividad de Monitoring |
monitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.list |
roles/monitoring.uptimeCheckConfigEditorEditor de configuración de verificaciones de tiempo de actividad de Monitoring |
monitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.update |
Configuración de los permisos de las métricas
Las funciones de configuración del alcance de las métricas incluyen estos permisos:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/monitoring.metricsScopesViewerVisualizador de permisos de métricas de Monitoring |
resourcemanager.projects.getresourcemanager.projects.list |
roles/monitoring.metricsScopesAdminAdministrador de permisos de métricas de Monitoring Agrega y quita proyectos supervisados. |
resourcemanager.projects.getresourcemanager.projects.listmonitoring.metricsScopes.link |
Google Cloud
Las funciones de Google Cloud incluyen estos permisos:
| Título del nombre |
Permisos incluidos |
|---|---|
roles/viewerVisualizador |
Los permisos de Monitoring son exactamente los permisos en roles/monitoring.viewer.
|
roles/editorEditor |
Los permisos de Monitoring son los mismos que en Esta función no otorga permiso para modificar el alcance de una métrica.
Para modificar el permiso de una métrica cuando usas la API, tu función debe incluir el permiso |
roles/ownerPropietario |
Los permisos de Monitoring son los mismos que los de roles/monitoring.admin.
|
Otorga funciones de IAM
Los propietarios del proyecto, los editores y las cuentas de servicio predeterminadas de Compute Engine y App Engine ya tienen los permisos necesarios. Sin embargo, para otras cuentas de usuario, es posible que debas otorgar estas funciones de forma explícita.
Por ejemplo, para que una cuenta de usuario lea o escriba descriptores de métricas mediante la API de Monitoring, ese usuario debe tener los permisos monitoring.metricDescriptors.* de IAM adecuados. Para ello, otorga las funciones predefinidas de Visualizador de Monitoring (roles/monitoring.viewer) y Editor de Monitoring (roles/monitoring.editor).
Para obtener más información, consulta los permisos de la API.
Estos permisos se pueden otorgar mediante la CLI de Google Cloud o Google Cloud Console (consola).
Google Cloud CLI
Usa el comando gcloud projects add-iam-policy-binding para otorgar la función monitoring.viewer o monitoring.editor.
Por ejemplo:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Puedes confirmar las funciones otorgadas con el comando gcloud projects get-iam-policy:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Console
Ve a la consola:
Si es necesario, haz clic en la lista desplegable de proyectos de Google Cloud y selecciona el nombre del proyecto en el que deseas habilitar la API.
Para expandir el menú de navegación, haz clic en Menú arrow_drop_down.
Haz clic en IAM y administración.
Si el usuario es miembro, haz clic en Editar edit para modificar sus permisos. Puedes modificar la función existente o agregar una función adicional. Para guardar los cambios, haz clic en Guardar.
Si el usuario no es miembro, haz lo siguiente:
- Haga clic en Add.
- Ingresa el nombre de usuario en el cuadro de texto Nuevos miembros.
- En Selecciona una función, haga clic en Menú arrow_drop_down.
- En la barra de filtro filter_list, ingresa la función adecuada:
- La función Editor de Monitoring otorga acceso de lectura y escritura.
- La función Visualizador de Monitoring otorga acceso de solo lectura.
Funciones personalizadas
Para crear una función personalizada con permisos de Monitoring, realiza las siguientes acciones:
Para una función que otorgue permisos solo a la API de Monitoring, elige los permisos en la sección de Permisos de la API.
Si deseas una función que otorgue permisos para Monitoring en Google Cloud Console, elige grupos de permisos en la sección Permisos de la consola para Monitoring.
Para otorgar la capacidad de escribir datos de supervisión, incluye los permisos de la función
roles/monitoring.metricWriteren la sección Funciones.
Para obtener más información sobre las funciones personalizadas, consulta Comprende las funciones personalizadas de IAM.
Permisos de acceso de Compute Engine
Los niveles de acceso son el método heredado de especificar permisos para tus instancias de VM de Compute Engine. Los siguientes niveles de acceso se aplican a Monitoring:
| Nivel de acceso | Permisos otorgados |
|---|---|
| https://www.googleapis.com/auth/monitoring.read | Los mismos permisos que en roles/monitoring.viewer |
| https://www.googleapis.com/auth/monitoring.write | Los mismos permisos que en roles/monitoring.metricWriter |
| https://www.googleapis.com/auth/monitoring | Acceso completo a Monitoring |
| https://www.googleapis.com/auth/cloud-platform | Acceso completo a todas las API de Cloud habilitadas |
Para obtener más información, consulta Permisos de acceso.
Prácticas recomendadas: Debido a que las funciones de IAM de la cuenta de servicio son fáciles de configurar y cambiar, se recomienda configurar las instancias de VM con el permiso de acceso más eficaz (cloud-platform) y, luego, usar las funciones de IAM para restringir el acceso a operaciones y API específicas. Para obtener más información, consulta Permisos de la cuenta de servicio.