Para usar Monitoring, debes tener los permisos de administración de identidades y accesos (IAM) adecuados. En general, cada método REST de una API tiene un permiso asociado. Para usar el método o una función de la consola que dependa de este, debes tener el permiso para usar el método correspondiente. Los permisos no se otorgan directamente a los usuarios, sino que se otorgan de forma indirecta a través de roles, que agrupan varios permisos para facilitar su administración:
- Para obtener más información sobre el control de acceso, consulta Conceptos relacionados con la administración de acceso.
- Para obtener información sobre cómo otorgar funciones a las principales, consulta Otorga acceso a Cloud Monitoring.
Las funciones para las combinaciones comunes de permisos están predefinidas. Sin embargo, también puedes crear tus propias combinaciones de permisos si creas funciones personalizadas de IAM.
Práctica recomendada
Te recomendamos que crees Grupos de Google para administrar el acceso a los proyectos de Google Cloud:
- Para obtener más información, consulta Administra grupos en la consola de Google Cloud.
- Para obtener información sobre cómo establecer límites en las funciones, consulta Establece límites en la asignación de funciones.
- Para obtener una lista completa de los permisos y las funciones de IAM, consulta la referencia de funciones básicas y predefinidas de IAM.
Controles del servicio de VPC
Para tener más control sobre el acceso a los datos de supervisión, usa los Controles del servicio de VPC además de IAM.
Los Controles del servicio de VPC brindan seguridad adicional para Cloud Monitoring a fin de mitigar el riesgo de robo de datos. Si usas los Controles del servicio de VPC, puedes agregar un permiso de métricas a un perímetro de servicio que proteja los recursos y servicios de Cloud Monitoring de las solicitudes que se originan fuera del perímetro.
Para obtener más información sobre los perímetros de servicio, consulta la documentación de configuración del perímetro de servicio de los Controles del servicio de VPC.
Para obtener información sobre la compatibilidad de Monitoring con los controles del servicio de VPC, incluidas las limitaciones conocidas, consulta la documentación de los controles del servicio de VPC.
Otorga acceso a Cloud Monitoring
A fin de administrar los roles de IAM para las principales, puedes usar la página de Identity and Access Management en Google Cloud Console. Sin embargo, Cloud Monitoring proporciona una interfaz simplificada que te permite administrar tus funciones específicas de Monitoring, funciones a nivel de proyecto y las funciones comunes para Cloud Logging y Cloud Trace.
Para otorgar a las principales acceso a Monitoring, Cloud Logging o Cloud Trace, o a fin de otorgar una función a nivel de proyecto, haz lo siguiente:
Consola de Google Cloud
-
En la consola de Google Cloud, selecciona Monitoring y, luego,
Permisos, o haz clic en el siguiente botón:En la página Permisos, no se muestran todas las principales. Solo enumera las principales que tienen una función a nivel de proyecto o una función específica de Monitoring, Logging o Trace.
Las opciones de esta página te permiten ver todas las principales cuyas funciones incluyen cualquier permiso de Monitoring.
Haz clic en
Grant access.Haz clic en Nuevas principales y, luego, ingresa el nombre de usuario de la principal. Puedes agregar varias principales.
Expande arrow_drop_down Selecciona un rol, elige un valor del menú Por producto o servicio y, luego, selecciona un rol del menú Funciones:
Selección por producto o servicio Selección de funciones Descripción Supervisión Visualizador de Monitoring Ver los datos de Monitoring y la información de configuración Por ejemplo, las principales con este rol pueden ver paneles personalizados y políticas de alertas. Supervisión Editor de Monitoring Ver datos de Monitoring, y crear y editar configuraciones Por ejemplo, las principales con esta función pueden crear paneles personalizados y políticas de alertas. Supervisión Administrador de Monitoring Consulta los datos de Monitoring, crea y edita configuraciones, y modifica el permiso de métricas. Cloud Trace Usuario de Cloud Trace Acceso total a la consola de Trace, acceso de lectura a los seguimientos y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Funciones de seguimiento. Cloud Trace Administrador de Cloud Trace Acceso total a la consola de Trace, acceso de lectura y escritura a los seguimientos y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Funciones de seguimiento. Registros Visor de registros Tiene acceso de lectura a los registros. Para obtener más información, consulta Funciones de Logging. Registros Administrador de Logging Tiene acceso completo a todas las funciones de Cloud Logging. Para obtener más información, consulta Funciones de Logging. Proyecto Visualizador Tiene acceso de lectura a la mayoría de los recursos de Google Cloud. Proyecto Editor Puede ver, crear, actualizar y borrar la mayoría de los recursos de Google Cloud. Proyecto Propietario Acceso completo a la mayoría de los recursos de Google Cloud. Opcional: Para otorgar a la misma principal otra función, haz clic en Agregar otra función y repite el paso anterior.
Haz clic en Guardar.
En los pasos anteriores, se describe cómo otorgar ciertas funciones principales mediante páginas de Monitoring en la consola de Google Cloud. Para estas funciones, esta página también admite las opciones de edición y eliminación:
Para quitar roles de una principal, selecciona la casilla junto a la principal y, luego, haz clic en
Quitar acceso.Para editar las funciones de una principal, haz clic en edit Editar. Después de actualizar la configuración, haz clic en Guardar.
Google Cloud CLI
Usa el comando gcloud projects add-iam-policy-binding
para otorgar la función monitoring.viewer
o monitoring.editor
.
Por ejemplo:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Puedes confirmar las funciones otorgadas con el comando gcloud projects get-iam-policy
:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Funciones predefinidas
Las siguientes funciones de IAM están predefinidas por Cloud Monitoring. Estas otorgan permisos solo para Monitoring.
Funciones de Monitoring
Las siguientes funciones otorgan permisos para Monitoring:
Título del nombre |
Permisos incluidos |
---|---|
roles/monitoring.viewer Visualizador de Monitoring |
Otorga acceso de solo lectura a Monitoring en la API y la consola de Google Cloud. |
roles/monitoring.editor Editor de Monitoring |
Otorga acceso de lectura y escritura a Monitoring en la API y la consola de Google Cloud, y otorga acceso de lectura y escritura a un permiso de métricas cuando se usa la consola de Google Cloud. El acceso de escritura a un permiso de métricas otorga permiso para agregar (o quitar) proyectos de Google Cloud supervisados a ese permiso de métricas. |
roles/monitoring.admin Administrador de Monitoring |
Otorga acceso completo a Monitoring en la API y la consola de Google Cloud, y otorga acceso de lectura y escritura a un permiso de métricas. El acceso de escritura a un permiso de métricas otorga permiso para agregar (o quitar) proyectos de Google Cloud supervisados a ese permiso de métricas. |
Las cuentas de servicio usan la siguiente función para el acceso de solo escritura:
Título del nombre |
Descripción |
---|---|
roles/monitoring.metricWriter Escritor de métricas de Monitoring |
Permite escribir datos de supervisión en un permiso de métricas. No permite el acceso a Monitoring en Google Cloud Console. Esta función es para agentes y cuentas de servicio. |
Funciones de política de alertas
Las siguientes funciones otorgan permisos para las políticas de alertas:
Título del nombre |
Descripción |
---|---|
roles/monitoring.alertPolicyViewer Visualizador de políticas de alertas de Monitoring |
Otorga acceso de solo lectura a las políticas de alertas. |
roles/monitoring.alertPolicyEditor Editor de políticas de alertas de Monitoring |
Otorga acceso de lectura y escritura a las políticas de alertas. |
Roles del panel
Las siguientes funciones otorgan permisos solo para los paneles:
Título del nombre |
Descripción |
---|---|
roles/monitoring.dashboardViewer Visualizador de configuración del panel de Monitoring |
Otorga acceso de solo lectura a las configuraciones del panel. |
roles/monitoring.dashboardEditor Editor de configuración del panel de Monitoring |
Otorga acceso de lectura y escritura a la configuración del panel. |
Funciones de incidentes
Las siguientes funciones otorgan permisos solo para incidentes:
Título del nombre |
Descripción |
---|---|
roles/monitoring.cloudConsoleIncidentViewer Visualizador de incidentes de Cloud Console Monitoring |
Otorga acceso para ver incidentes mediante la consola de Google Cloud. |
roles/monitoring.cloudConsoleIncidentEditor Editor de incidentes de Cloud Console Monitoring |
Otorga acceso para ver, confirmar y cerrar incidentes con la consola de Google Cloud. |
Si deseas obtener información para resolver errores de permisos de IAM cuando visualizas incidentes, consulta No se pueden ver los detalles de los incidentes debido a errores de permisos.
Roles del canal de notificaciones
Las siguientes funciones otorgan permisos solo para los canales de notificaciones:
Título del nombre |
Descripción |
---|---|
roles/monitoring.notificationChannelViewer Visualizador de canales de notificaciones de Monitoring |
Otorga acceso de solo lectura a los canales de notificaciones. |
roles/monitoring.notificationChannelEditor Editor de canales de notificaciones de Monitoring |
Otorga acceso de lectura y escritura a los canales de notificaciones. |
Posponer roles de notificación
Las siguientes funciones otorgan permisos para posponer notificaciones:
Título del nombre |
Descripción |
---|---|
roles/monitoring.snoozeViewer Visualizador de alertas pospuestas |
Otorga acceso de solo lectura a alertas pospuestas. |
roles/monitoring.snoozeEditor Editor de alertas pospuestas de Monitoring |
Otorga acceso de lectura y escritura a las alertas pospuestas. |
Funciones de supervisión de servicios
Las siguientes funciones otorgan permisos para administrar servicios:
Título del nombre |
Descripción |
---|---|
roles/monitoring.servicesViewer Visualizador de servicios de Monitoring |
Otorga acceso de solo lectura a los servicios. |
roles/monitoring.servicesEditor Editor de servicios de Monitoring |
Otorga acceso de lectura y escritura a los servicios. |
Para obtener más información sobre la supervisión de servicios, consulta Supervisión de SLO.
Funciones de configuración de verificaciones de tiempo de actividad
Las siguientes funciones otorgan permisos solo para la configuración de verificaciones de tiempo de actividad:
Título del nombre |
Descripción |
---|---|
roles/monitoring.uptimeCheckConfigViewer Visualizador de configuración de verificaciones de tiempo de actividad de Monitoring |
Otorga acceso de solo lectura a la configuración de verificaciones de tiempo de actividad. |
roles/monitoring.uptimeCheckConfigEditor Editor de configuración de verificaciones de tiempo de actividad de Monitoring |
Otorga acceso de lectura y escritura a la configuración de verificaciones de tiempo de actividad. |
Roles de configuración del permiso de las métricas
Las siguientes funciones otorgan permisos generales para los permisos de métricas:
Título del nombre |
Descripción |
---|---|
roles/monitoring.metricsScopesViewer Visualizador de permisos de métricas de supervisión |
Otorga acceso de solo lectura a los permisos de las métricas. |
roles/monitoring.metricsScopesAdmin Administrador de permisos de métricas de supervisión |
Otorga acceso de lectura y escritura a los permisos de las métricas. |
Roles de Google Cloud
Las siguientes funciones otorgan permisos para muchos servicios y recursos en Google Cloud, incluido Monitoring:
Título del nombre |
Permisos incluidos |
---|---|
roles/viewer Visualizador |
Los permisos de Monitoring son exactamente los de roles/monitoring.viewer .
|
roles/editor Editor |
Los permisos de Monitoring son los mismos que los de Este rol no otorga permiso para modificar un permiso de métricas.
Para modificar un permiso de métricas cuando usas la API, tu función debe incluir el permiso |
roles/owner Propietario |
Los permisos de Monitoring son los mismos que los de roles/monitoring.admin .
|
Permisos para roles predefinidos
En esta sección, se enumeran los permisos asignados a las funciones predefinidas asociadas con Monitoring.
Para obtener más información sobre las funciones predefinidas, consulta IAM: Funciones y permisos. Si quieres obtener ayuda para elegir las funciones predefinidas más apropiadas, consulta Elige las funciones predefinidas.
Permisos para las funciones de Monitoring
Role | Permissions |
---|---|
Monitoring Admin(
Provides the same access as the Monitoring Editor role ( Lowest-level resources where you can grant this role:
|
cloudnotifications. monitoring.*
opsconfigmonitoring.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable stackdriver.*
|
Monitoring AlertPolicy Editor( Read/write access to alerting policies. |
monitoring.alertPolicies.*
|
Monitoring AlertPolicy Viewer( Read-only access to alerting policies. |
monitoring.alertPolicies.get monitoring.alertPolicies.list |
Monitoring Cloud Console Incident Editor Beta( Read/write access to incidents from Cloud Console. |
|
Monitoring Cloud Console Incident Viewer Beta( Read access to incidents from Cloud Console. |
|
Monitoring Dashboard Configuration Editor( Read/write access to dashboard configurations. |
monitoring.dashboards.*
|
Monitoring Dashboard Configuration Viewer( Read-only access to dashboard configurations. |
monitoring.dashboards.get monitoring.dashboards.list |
Monitoring Editor( Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
cloudnotifications. monitoring.alertPolicies.*
monitoring.dashboards.*
monitoring.groups.*
monitoring.metricDescriptors.*
monitoring.
monitoring.
monitoring. monitoring. monitoring. monitoring. monitoring. monitoring. monitoring. monitoring.publicWidgets.*
monitoring.services.*
monitoring.slos.*
monitoring.snoozes.*
monitoring.timeSeries.*
monitoring.
opsconfigmonitoring.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable stackdriver.*
|
Monitoring Metric Writer( Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role:
|
monitoring. monitoring. monitoring.
monitoring.
monitoring.timeSeries.create |
Monitoring Metrics Scopes Admin Beta( Access to add and remove monitored projects from metrics scopes. |
monitoring.metricsScopes.link resourcemanager.projects.get resourcemanager.projects.list |
Monitoring Metrics Scopes Viewer Beta( Read-only access to metrics scopes and their monitored projects. |
resourcemanager.projects.get resourcemanager.projects.list |
Monitoring NotificationChannel Editor Beta( Read/write access to notification channels. |
monitoring.
monitoring. monitoring. monitoring. monitoring. monitoring. monitoring. monitoring. |
Monitoring NotificationChannel Viewer Beta( Read-only access to notification channels. |
monitoring.
monitoring. monitoring. |
Monitoring Services Editor( Read/write access to services. |
monitoring.services.*
monitoring.slos.*
|
Monitoring Services Viewer( Read-only access to services. |
monitoring.services.get monitoring.services.list monitoring.slos.get monitoring.slos.list |
Monitoring Snooze Editor(
|
monitoring.snoozes.*
|
Monitoring Snooze Viewer(
|
monitoring.snoozes.get monitoring.snoozes.list |
Monitoring Uptime Check Configuration Editor Beta( Read/write access to uptime check configurations. |
monitoring.
|
Monitoring Uptime Check Configuration Viewer Beta( Read-only access to uptime check configurations. |
monitoring. monitoring. |
Monitoring Viewer( Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
cloudnotifications. monitoring.alertPolicies.get monitoring.alertPolicies.list monitoring.dashboards.get monitoring.dashboards.list monitoring.groups.get monitoring.groups.list monitoring. monitoring.
monitoring.
monitoring.
monitoring. monitoring. monitoring.publicWidgets.get monitoring.publicWidgets.list monitoring.services.get monitoring.services.list monitoring.slos.get monitoring.slos.list monitoring.snoozes.get monitoring.snoozes.list monitoring.timeSeries.list monitoring. monitoring. opsconfigmonitoring. resourcemanager.projects.get resourcemanager.projects.list stackdriver.projects.get stackdriver. |
Permisos para los roles de Monitoring de configuración de operaciones
Role | Permissions |
---|---|
Ops Config Monitoring Resource Metadata Viewer Beta( Read-only access to resource metadata. |
opsconfigmonitoring. |
Ops Config Monitoring Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata. |
opsconfigmonitoring. |
Permisos para las funciones de Stackdriver
Role | Permissions |
---|---|
Stackdriver Accounts Editor( Read/write access to manage Stackdriver account structure. |
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable stackdriver.projects.*
|
Stackdriver Accounts Viewer( Read-only access to get and list information about Stackdriver account structure. |
resourcemanager.projects.get resourcemanager.projects.list stackdriver.projects.get |
Stackdriver Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata. |
stackdriver. |
Roles de Google Cloud
Las funciones de Google Cloud incluyen estos permisos:
Título del nombre |
Permisos incluidos |
---|---|
roles/viewer Visualizador |
Los permisos de Monitoring son exactamente los de roles/monitoring.viewer .
|
roles/editor Editor |
Los permisos de Monitoring son los mismos que los de Este rol no otorga permiso para modificar un permiso de métricas.
Para modificar un permiso de métricas cuando usas la API, tu función debe incluir el permiso |
roles/owner Propietario |
Los permisos de Monitoring son los mismos que los de roles/monitoring.admin .
|
Funciones personalizadas
Te recomendamos que crees una función personalizada cuando quieras otorgar a una principal un conjunto más limitado de permisos que aquellos otorgados con funciones predefinidas.
Por ejemplo, si configuras Assured Workloads porque tienes requisitos de residencia de datos o nivel de impacto 4 (IL4), no debes usar verificaciones de tiempo de actividad porque no hay garantía de que los datos de verificación de tiempo de actividad se mantengan en una ubicación geográfica específica.
Para evitar el uso de verificaciones de tiempo de actividad, crea una función que no incluya ningún permiso con el prefijo monitoring.uptimeCheckConfigs
.
Para crear una función personalizada con permisos de Monitoring, realiza las siguientes acciones:
Para una función que otorgue permisos solo a la API de Monitoring, elige los permisos en la sección Permisos y roles predefinidos.
Para una función que otorgue permisos para Monitoring en Google Cloud Console, elige uno de los grupos de permisos en la sección Funciones de Monitoring.
Para otorgar la capacidad de escribir datos de supervisión, incluye los permisos de la función
roles/monitoring.metricWriter
en la sección Permisos y roles predefinidos.
Para obtener más información sobre las funciones personalizadas, consulta Comprende las funciones personalizadas de IAM.
Permisos de acceso de Compute Engine
Los niveles de acceso son el método heredado de especificar permisos para tus instancias de VM de Compute Engine. Los siguientes niveles de acceso se aplican a Monitoring:
Nivel de acceso | Permisos otorgados |
---|---|
https://www.googleapis.com/auth/monitoring.read | Los mismos permisos que en roles/monitoring.viewer |
https://www.googleapis.com/auth/monitoring.write | Los mismos permisos que en roles/monitoring.metricWriter |
https://www.googleapis.com/auth/monitoring | Acceso completo a Monitoring |
https://www.googleapis.com/auth/cloud-platform | Acceso completo a todas las API de Cloud habilitadas |
Para obtener más información, consulta Permisos de acceso.
Prácticas recomendadas: Debido a que las funciones de IAM de la cuenta de servicio son fáciles de configurar y cambiar, se recomienda configurar las instancias de VM con el permiso de acceso más eficaz (cloud-platform
) y, luego, usar las funciones de IAM para restringir el acceso a operaciones y API específicas. Para obtener más información, consulta Permisos de la cuenta de servicio.