Control de acceso con IAM

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En este documento, se describen las funciones y los permisos de la administración de identidades y accesos (IAM) que usa Cloud Monitoring. Está dirigido a administradores que configuran y otorgan funciones y permisos.

Práctica recomendada

Te recomendamos que crees Grupos de Google para administrar el acceso a los proyectos de Cloud:

Controles del servicio de VPC

Para tener más control sobre el acceso a los datos de supervisión, usa los Controles del servicio de VPC además de IAM.

Los Controles del servicio de VPC brindan seguridad adicional para Cloud Monitoring a fin de mitigar el riesgo de robo de datos. Si usas los Controles del servicio de VPC, puedes agregar un permiso de métricas a un perímetro de servicio que proteja los recursos y servicios de Cloud Monitoring de las solicitudes que se originan fuera del perímetro.

Para obtener más información sobre los perímetros de servicio, consulta la documentación de configuración del perímetro de servicio de los Controles del servicio de VPC.

Para obtener información sobre la compatibilidad de Monitoring con los controles del servicio de VPC, incluidas las limitaciones conocidas, consulta la documentación de los controles del servicio de VPC.

Otorga acceso a Cloud Monitoring

Para administrar las funciones de IAM de las principales, puedes usar la página de Identity and Access Management en Google Cloud Console. Sin embargo, Cloud Monitoring proporciona una interfaz simplificada que te permite administrar las funciones específicas de Monitoring, las funciones a nivel de proyecto y las funciones comunes para Cloud Logging y Cloud Trace.

Para otorgar acceso a las principales a Monitoring, Cloud Logging o Cloud Trace, o bien otorgar una función a nivel de proyecto, haz lo siguiente:

  1. En Google Cloud Console, selecciona Monitoring o haz clic en el siguiente botón:
    Ir a Monitoring
  2. En el panel de navegación, selecciona Permisos.

    La página Permisos no muestra todas las principales. Solo enumera las principales que tienen una función a nivel de proyecto o una función específica de Monitoring, Logging o Trace.

    Las opciones de esta página te permiten ver todas las principales cuyas funciones incluyen cualquier permiso de Monitoring.

  3. Haz clic en Grant access.

  4. Haz clic en Principales nuevas y, luego, ingresa el nombre de usuario de la principal. Puedes agregar varias principales.

  5. Expande Selecciona una función, selecciona un valor del menú Por producto o servicio y, luego, selecciona una función en el menú Funciones:

    Selección Por producto o servicio Selección de funciones Descripción
    Supervisión Visualizador de Monitoring Visualiza los datos de Monitoring y la información de configuración. Por ejemplo, las principales con esta función pueden ver paneles personalizados y políticas de alertas.
    Supervisión Editor de Monitoring Visualiza los datos de Monitoring, y crea y edita opciones de configuración. Por ejemplo, las principales con esta función pueden crear paneles personalizados y políticas de alertas.
    Supervisión Administrador de Monitoring Visualiza los datos de Monitoring, crea y edita configuraciones, y modifica el alcance de las métricas.
    Cloud Trace Usuario de Cloud Trace Acceso total a la consola de Trace, acceso de lectura a los seguimientos y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Funciones de seguimiento.
    Cloud Trace Administrador de Cloud Trace Acceso total a la consola de Trace, acceso de lectura y escritura a los seguimientos y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Funciones de seguimiento.
    Registros Visor de registros Tiene acceso de lectura a los registros. Para obtener más información, consulta Funciones de Logging.
    Registros Administrador de Logging Tiene acceso completo a todas las funciones de Cloud Logging. Para obtener más información, consulta Funciones de Logging.
    Proyecto Visualizador Tiene acceso de lectura a la mayoría de los recursos de Google Cloud.
    Proyecto Editor Puede ver, crear, actualizar y borrar la mayoría de los recursos de Google Cloud.
    Proyecto Propietario Acceso completo a la mayoría de los recursos de Google Cloud.
  6. Opcional: Para otorgar a las mismas principales otra función, haz clic en Agregar otra función y repite el paso anterior.

  7. Haz clic en Guardar.

En los pasos anteriores, se describe cómo otorgar ciertas funciones a una principal mediante las páginas de supervisión en Google Cloud Console. Para estas funciones, esta página también admite opciones de edición y eliminación:

  • Para quitar funciones de una principal, selecciona la casilla junto a la principal y, luego, haz clic en Quitar acceso.

  • Para editar las funciones de una principal, haz clic en Editar. Después de actualizar la configuración, haz clic en Guardar.

Descripción general de IAM de Monitoring

Para usar Monitoring, debes tener los permisos de IAM adecuados.

En general, cada método REST en una API tiene un permiso asociado y debes tener el permiso para usar el método correspondiente. Los permisos no se otorgan directamente a los usuarios. En cambio, los permisos se otorgan indirectamente a través de funciones, que agrupan varios permisos para facilitar su administración. Si deseas obtener más información sobre estos conceptos, consulta Conceptos relacionados con la administración del acceso.

Las funciones para combinaciones comunes de permisos están predefinidas, pero también puedes crear tus propias combinaciones de permisos si creas funciones personalizadas de IAM.

Funciones predefinidas

Las siguientes funciones de IAM están predefinidas por Cloud Monitoring. Estas otorgan permisos solo para Monitoring.

Supervisión

Las siguientes funciones otorgan permisos para Monitoring:

Título del
nombre
Permisos incluidos
roles/monitoring.viewer
Visualizador de Monitoring
Otorga acceso de solo lectura a Monitoring en la API y la consola de Google Cloud.
roles/monitoring.editor
Editor de Monitoring
Otorga acceso de lectura y escritura a Monitoring en Google Cloud Console y la API
y otorga acceso de lectura y escritura a un permiso de las métricas cuando se usa Google Cloud Console. El acceso de escritura a un permiso de métricas otorga permiso para agregar (o quitar) proyectos de Google Cloud supervisados a ese permiso de métricas.
roles/monitoring.admin
Administrador de Monitoring
Otorga acceso completo a Monitoring en Google Cloud Console y a la API
y otorga acceso de lectura y escritura a un permiso de las métricas. El acceso de escritura a un permiso de métricas otorga permiso para agregar (o quitar) proyectos de Google Cloud supervisados a ese permiso de métricas.

Las cuentas de servicio usan la siguiente función para el acceso de solo escritura:

Título del
nombre
Descripción
roles/monitoring.metricWriter
Escritor de métricas de Monitoring
Permite escribir datos de supervisión en un permiso de métricas.
No permite el acceso a Monitoring en Google Cloud Console.
Esta función es para cuentas de servicio y agentes.

Políticas de alertas

Las siguientes funciones otorgan permisos para las políticas de alertas:

Título del
nombre
Descripción
roles/monitoring.alertPolicyViewer
Visualizador de políticas de alertas de Monitoring
Otorga acceso de solo lectura a las políticas de alertas.
roles/monitoring.alertPolicyEditor
Editor de políticas de alertas de Monitoring
Otorga acceso de lectura y escritura a las políticas de alertas.

Paneles

Las siguientes funciones otorgan permisos solo para los paneles:

Título del
nombre
Descripción
roles/monitoring.dashboardViewer
Visualizador de configuración del panel de Monitoring
Otorga acceso de solo lectura a las configuraciones del panel.
roles/monitoring.dashboardEditor
Editor de configuración del panel de Monitoring
Otorga acceso de lectura y escritura a la configuración del panel.

Incidentes

Las siguientes funciones otorgan permisos generales para ver los incidentes:

Título del
nombre
Descripción
roles/monitoring.viewer
Visualizador de Monitoring
Otorga acceso para ver los incidentes.
roles/monitoring.editor
Editor de Monitoring
Otorga acceso para ver, confirmar y cerrar incidentes.
roles/monitoring.admin
Administrador de Monitoring
Otorga acceso para ver, confirmar y cerrar incidentes.

Para ver los detalles de un incidente, debes tener, como mínimo, la función de administración de identidades y accesos de roles/monitoring.viewer. Para obtener más información, consulta No se pueden ver los detalles del incidente debido a un error de permiso.

Canales de notificaciones

Las siguientes funciones otorgan permisos solo para los canales de notificaciones:

Título del
nombre
Descripción
roles/monitoring.notificationChannelViewer
Visualizador de canales de notificaciones de Monitoring
Otorga acceso de solo lectura a los canales de notificación.
roles/monitoring.notificationChannelEditor
Editor de canales de notificaciones de Monitoring
Otorga acceso de lectura y escritura a los canales de notificaciones.

Cómo posponer las notificaciones

Las siguientes funciones otorgan permisos para posponer notificaciones:

Título del
nombre
Descripción
roles/monitoring.snoozeViewer
Supervisión de las instancias pospuestas
Otorga acceso de solo lectura a las alertas pospuestas.
roles/monitoring.snoozeEditor
Editor de posposición de Monitoring
Otorga acceso de lectura y escritura a las alertas pospuestas.

Supervisión de servicios

Las siguientes funciones otorgan permisos para administrar servicios:

Título del
nombre
Descripción
roles/monitoring.servicesViewer
Visualizador de servicios de Monitoring
Otorga acceso de solo lectura a los servicios.
roles/monitoring.servicesEditor
Editor de servicios de Monitoring
Otorga acceso de lectura y escritura a los servicios.

Para obtener más información sobre la supervisión de servicios, consulta Supervisión de SLO.

Configuración de verificaciones de tiempo de actividad

Las siguientes funciones otorgan permisos solo para la configuración de verificaciones de tiempo de actividad:

Título del
nombre
Descripción
roles/monitoring.uptimeCheckConfigViewer
Visualizador de configuración de verificaciones de tiempo de actividad de Monitoring
Otorga acceso de solo lectura a las configuraciones de verificación de tiempo de actividad.
roles/monitoring.uptimeCheckConfigEditor
Editor de configuración de verificaciones de tiempo de actividad de Monitoring
Otorga acceso de lectura y escritura a la configuración de verificaciones de tiempo de actividad.

Configuración de los permisos de las métricas

Las siguientes funciones otorgan permisos generales para los permisos de métricas:

Título del
nombre
Descripción
roles/monitoring.metricsScopesViewer
Visualizador de permisos de métricas de supervisión
Otorga acceso de solo lectura a los permisos de las métricas.
roles/monitoring.metricsScopesAdmin
Administrador de permisos de métricas de supervisión
Otorga acceso de lectura y escritura a los permisos de las métricas.

Google Cloud

Las siguientes funciones otorgan permisos para muchos servicios y recursos en Google Cloud, incluido Monitoring:

Título del
nombre
Permisos incluidos
roles/viewer
Lector
Los permisos de Monitoring son exactamente los permisos en roles/monitoring.viewer.
roles/editor
Editor

Los permisos de Monitoring son los mismos que los de roles/monitoring.editor, excepto el permiso stackdriver.projects.edit. La función roles/editor no incluye el permiso stackdriver.projects.edit.

Esta función no otorga permiso para modificar el alcance de una métrica. Para modificar un permiso de las métricas cuando usas la API, tu función debe incluir el permiso monitoring.metricsScopes.link. Para modificar un permiso de las métricas cuando se usa la consola de Google Cloud, tu función debe incluir el permiso monitoring.metricsScopes.link o debes tener la función roles/monitoring.editor.

roles/owner
Propietario
Los permisos de Monitoring son los mismos que los de roles/monitoring.admin.

Funciones personalizadas

También puedes crear tus propias funciones personalizadas que contengan listas de permisos. Para obtener más detalles acerca de las funciones y los permisos, ve a Permisos y funciones y Funciones personalizadas en esta página.

Permisos y roles

En esta sección, se enumeran los permisos y funciones de IAM que se aplican a Monitoring.

Permisos de la API

Cada método API de Monitoring requiere un permiso de IAM específico, como se muestra en la siguiente tabla.

Método de la API de Monitoring Permiso Tipo de recurso
projects.alertPolicies.create monitoring.alertPolicies.create proyecto
projects.alertPolicies.delete monitoring.alertPolicies.delete AlertPolicy
projects.alertPolicies.get monitoring.alertPolicies.get AlertPolicy
projects.alertPolicies.list monitoring.alertPolicies.list proyecto
projects.alertPolicies.patch monitoring.alertPolicies.update AlertPolicy
projects.dashboards.create monitoring.dashboards.create proyecto
projects.dashboards.delete monitoring.dashboards.delete proyecto
projects.dashboards.get monitoring.dashboards.get proyecto
projects.dashboards.list monitoring.dashboards.list proyecto
projects.dashboards.patch monitoring.dashboards.update proyecto
projects.groups.create monitoring.groups.create proyecto
projects.groups.delete monitoring.groups.delete Group
projects.groups.get monitoring.groups.get Group
projects.groups.list monitoring.groups.list proyecto
projects.groups.update monitoring.groups.update Group
projects.groups.members.list monitoring.groups.get Group
projects.metricDescriptors.create monitoring.metricDescriptors.create proyecto
projects.metricDescriptors.delete monitoring.metricDescriptors.delete MetricDescriptor
projects.metricDescriptors.get monitoring.metricDescriptors.get MetricDescriptor
projects.metricDescriptors.list monitoring.metricDescriptors.list proyecto
projects.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.get MonitoredResourceDescriptor
projects.monitoredResourceDescriptors.list monitoring.monitoredResourceDescriptors.list proyecto
projects.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.get NotificationChannelDescriptor
projects.notificationChannelDescriptors.list monitoring.notificationChannelDescriptors.list proyecto
projects.notificationChannels.create monitoring.notificationChannels.create proyecto
projects.notificationChannels.delete monitoring.notificationChannels.delete NotificationChannel
projects.notificationChannels.get monitoring.notificationChannels.get NotificationChannel
projects.notificationChannels.getVerificationCode monitoring.notificationChannels.getVerificationCode NotificationChannel
projects.notificationChannels.list monitoring.notificationChannels.list proyecto
projects.notificationChannels.patch monitoring.notificationChannels.update NotificationChannel
projects.notificationChannels.sendVerificationCode monitoring.notificationChannels.sendVerificationCode NotificationChannel
projects.notificationChannels.verify monitoring.notificationChannels.verify NotificationChannel
projects.services.create monitoring.services.create proyecto
projects.services.delete monitoring.services.delete Service
projects.services.get monitoring.services.get Service
projects.services.list monitoring.services.list proyecto
projects.services.patch monitoring.services.update Service
projects.services.serviceLevelObjectives.create monitoring.slos.create proyecto
projects.services.serviceLevelObjectives.delete monitoring.slos.delete ServiceLevelObjective
projects.services.serviceLevelObjectives.get monitoring.slos.get ServiceLevelObjective
projects.services.serviceLevelObjectives.list monitoring.slos.list proyecto
projects.services.serviceLevelObjectives.patch monitoring.slos.update ServiceLevelObjective
projects.timeSeries.create monitoring.timeSeries.create proyecto
projects.timeSeries.list monitoring.timeSeries.list proyecto, carpeta, organización
projects.timeSeries.query monitoring.timeSeries.list proyecto
projects.uptimeCheckConfigs.create monitoring.uptimeCheckConfigs.create UptimeCheckConfig
projects.uptimeCheckConfigs.delete monitoring.uptimeCheckConfigs.delete UptimeCheckConfig
projects.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.get UptimeCheckConfig
projects.uptimeCheckConfigs.list monitoring.uptimeCheckConfigs.list UptimeCheckConfig
projects.uptimeCheckConfigs.patch monitoring.uptimeCheckConfigs.update UptimeCheckConfig
locations.global.metricsScopes.get resourcemanager.projects.get proyecto
locations.global.metricsScopes/listMetricScopesByMonitoredProject resourcemanager.projects.get proyecto
locations.global.metricsScopes.projects.create monitoring.metricsScopes.link proyecto
locations.global.metricsScopes.projects.delete monitoring.metricsScopes.link proyecto

Permisos de Console para Monitoring

Cada función de Monitoring en Google Cloud Console requiere que tengas el permiso de la API que se usa para implementar la función. Por ejemplo, la capacidad de explorar grupos requiere que tengas permiso para los métodos list y get aplicables a grupos y miembros del grupo. Es posible que pierdas la funcionalidad si se revocan los permisos necesarios.

En la siguiente tabla, se enumeran los permisos necesarios para usar Monitoring en Google Cloud Console:

Actividad Permisos necesarios Para el tipo de recurso
Acceso de solo lectura El conjunto de permisos incluidos en la función roles/monitoring.viewer project.
Consola de acceso de lectura y escritura El conjunto de permisos incluidos en la función roles/monitoring.editor project.
Acceso completo a la consola El conjunto de permisos incluidos en la función roles/monitoring.admin project.

Roles

En la siguiente tabla, se enumeran las funciones de IAM que otorgan acceso a Monitoring y los permisos asociados con cada función. Varias de estas funciones están graduadas: por ejemplo, la función roles/monitoring.editor incluye todos los permisos de la función roles/monitoring.viewer, más un conjunto adicional de permisos.

Las funciones se pueden asignar solo a nivel de proyecto.

Supervisión

Las funciones de Monitoring incluyen los siguientes permisos:

Título del
nombre
Permisos incluidos
roles/monitoring.viewer
Visualizador de Monitoring
cloudnotifications.activities.list
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.groups.get
monitoring.groups.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
opsconfigmonitoring.resourceMetadata.list
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get stackdriver.resourceMetadata.list
roles/monitoring.editor
Editor de Monitoring
cloudnotifications.activities.list
monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update
monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update
monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update
monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.publicWidgets.create
monitoring.publicWidgets.delete
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.publicWidgets.update
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update
monitoring.timeSeries.create
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update
opsconfigmonitoring.resourceMetadata.write
opsconfigmonitoring.resourceSnapshot.create
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.enable
stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.write
roles/monitoring.admin
Administrador de Monitoring
Los permisos en roles/monitoring.editor, además de los siguientes:
monitoring.notificationChannels.getVerificationCode
monitoring.metricsScopes.link

Las cuentas de servicio usan la siguiente función para el acceso de solo escritura:

Título del
nombre
Permisos incluidos
roles/monitoring.metricWriter
Escritor de métricas de Monitoring
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.timeSeries.create

Políticas de alertas

Las funciones de política de alertas incluyen los siguientes permisos:

Título del
nombre
Permisos incluidos
roles/monitoring.alertPolicyViewer
Visualizador de políticas de alertas de Monitoring
monitoring.alertPolicies.get
monitoring.alertPolicies.list
roles/monitoring.alertPolicyEditor
Editor de políticas de alertas de Monitoring
monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update

Paneles

Las funciones de paneles incluyen estos permisos:

Título del
nombre
Permisos incluidos
roles/monitoring.dashboardViewer
Visualizador de configuración del panel de Monitoring
monitoring.dashboards.get
monitoring.dashboards.list
roles/monitoring.dashboardEditor
Editor de configuración del panel de Monitoring
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.update

Canales de notificaciones

Las funciones de los canales de notificación incluyen los siguientes permisos:

Título del
nombre
Permisos incluidos
roles/monitoring.notificationChannelViewer
Visualizador de canales de notificaciones de Monitoring
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.get
monitoring.notificationChannels.list
roles/monitoring.notificationChannelEditor
Editor de canales de notificaciones de Monitoring
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify

Cómo posponer las notificaciones

Las funciones Posponer incluyen los permisos necesarios para ver o crear alertas pospuestas.

Título del
nombre
Permisos incluidos
roles/monitoring.snoozeViewer
Visualizador de alertas pospuestas
monitoring.snoozes.get
monitoring.snoozes.list
roles/monitoring.snoozeEditor
Editor de posposición de Monitoring
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

Supervisión de servicios

Las funciones de supervisión de servicios incluyen estos permisos:

Título del
nombre
Permisos incluidos
roles/monitoring.servicesViewer
Visualizador de servicios de Monitoring
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
roles/monitoring.servicesEditor
Editor de servicios de Monitoring
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

Configuración de verificaciones de tiempo de actividad

Las funciones de configuración de verificaciones de tiempo de actividad incluyen estos permisos:

Título del
nombre
Permisos incluidos
roles/monitoring.uptimeCheckConfigViewer
Visualizador de configuración de verificaciones de tiempo de actividad de Monitoring
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
roles/monitoring.uptimeCheckConfigEditor
Editor de configuración de verificaciones de tiempo de actividad de Monitoring
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

Configuración de los permisos de las métricas

Las funciones de configuración del alcance de las métricas incluyen estos permisos:

Título del
nombre
Permisos incluidos
roles/monitoring.metricsScopesViewer
Visualizador de permisos de métricas de Monitoring
resourcemanager.projects.get
resourcemanager.projects.list
roles/monitoring.metricsScopesAdmin
Administrador de permisos de métricas de Monitoring
Agrega y quita proyectos supervisados.
resourcemanager.projects.get
resourcemanager.projects.list
monitoring.metricsScopes.link

Google Cloud

Las funciones de Google Cloud incluyen estos permisos:

Título del
nombre
Permisos incluidos
roles/viewer
Lector
Los permisos de Monitoring son exactamente los permisos en roles/monitoring.viewer.
roles/editor
Editor

Los permisos de Monitoring son los mismos que los de roles/monitoring.editor, excepto el permiso stackdriver.projects.edit. La función roles/editor no incluye el permiso stackdriver.projects.edit.

Esta función no otorga permiso para modificar el alcance de una métrica. Para modificar un permiso de las métricas cuando usas la API, tu función debe incluir el permiso monitoring.metricsScopes.link. Para modificar un permiso de las métricas cuando se usa la consola de Google Cloud, tu función debe incluir el permiso monitoring.metricsScopes.link o debes tener la función roles/monitoring.editor.

roles/owner
Propietario
Los permisos de Monitoring son los mismos que los de roles/monitoring.admin.

Otorga funciones de IAM

Los propietarios del proyecto, los editores y las cuentas de servicio predeterminadas de Compute Engine y App Engine ya tienen los permisos necesarios. Sin embargo, para otras cuentas de usuario, es posible que debas otorgar estas funciones de forma explícita.

Por ejemplo, para que una cuenta de usuario lea o escriba descriptores de métricas mediante la API de Monitoring, ese usuario debe tener los permisos monitoring.metricDescriptors.* de IAM adecuados. Para ello, otorga las funciones predefinidas de Visualizador de Monitoring (roles/monitoring.viewer) y Editor de Monitoring (roles/monitoring.editor). Para obtener más información, consulta los permisos de la API.

Estos permisos se pueden otorgar con Google Cloud CLI o con Google Cloud Console (Google Cloud Console).

Google Cloud CLI

Usa el comando gcloud projects add-iam-policy-binding para otorgar la función monitoring.viewer o monitoring.editor.

Por ejemplo:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Puedes confirmar las funciones otorgadas con el comando gcloud projects get-iam-policy:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Consola de Google Cloud

  1. Ve a Google Cloud Console:

    Ve a la consola de Google Cloud.

  2. Si es necesario, haz clic en la lista desplegable de proyectos de Google Cloud y selecciona el nombre del proyecto en el que deseas habilitar la API.

  3. Para expandir el menú de navegación, haz clic en Menú .

  4. Haz clic en IAM y administración.

  5. Si el usuario es miembro, haz clic en Editar para modificar sus permisos. Puedes modificar la función existente o agregar una función adicional. Para guardar los cambios, haz clic en Guardar.

  6. Si el usuario no es miembro, haz lo siguiente:

    1. Haga clic en Add.
    2. Ingresa el nombre de usuario en el cuadro de texto Nuevos miembros.
    3. En Selecciona una función, haga clic en Menú .
    4. En la barra de filtro , ingresa la función adecuada:
      • La función Editor de Monitoring otorga acceso de lectura y escritura.
      • La función Visualizador de Monitoring otorga acceso de solo lectura.

Funciones personalizadas

Te recomendamos crear una función personalizada cuando desees otorgar a una principal un conjunto de permisos más limitado que los otorgados con funciones predefinidas. Por ejemplo, si configuras Assured Workloads porque tienes requisitos de residencia de datos o de nivel de impacto 4 (IL4), no debes usar verificaciones de tiempo de actividad porque no hay garantía de que los datos de verificación de tiempo de actividad se guarden en una ubicación geográfica específica. Para evitar el uso de verificaciones de tiempo de actividad, crea una función que no incluya ningún permiso con el prefijo monitoring.uptimeCheckConfigs.

Para crear una función personalizada con permisos de Monitoring, realiza las siguientes acciones:

  • Para una función que otorgue permisos solo a la API de Monitoring, elige los permisos en la sección de Permisos de la API.

  • Para una función que otorgue permisos a Monitoring en Google Cloud Console, elige entre los grupos de permisos en la sección Permisos de Console para Monitoring.

  • Para otorgar la capacidad de escribir datos de supervisión, incluye los permisos de la función roles/monitoring.metricWriter en la sección Funciones.

Para obtener más información sobre las funciones personalizadas, consulta Comprende las funciones personalizadas de IAM.

Permisos de acceso de Compute Engine

Los niveles de acceso son el método heredado de especificar permisos para tus instancias de VM de Compute Engine. Los siguientes niveles de acceso se aplican a Monitoring:

Nivel de acceso Permisos otorgados
https://www.googleapis.com/auth/monitoring.read Los mismos permisos que en roles/monitoring.viewer
https://www.googleapis.com/auth/monitoring.write Los mismos permisos que en roles/monitoring.metricWriter
https://www.googleapis.com/auth/monitoring Acceso completo a Monitoring
https://www.googleapis.com/auth/cloud-platform Acceso completo a todas las API de Cloud habilitadas

Para obtener más información, consulta Permisos de acceso.

Prácticas recomendadas: Debido a que las funciones de IAM de la cuenta de servicio son fáciles de configurar y cambiar, se recomienda configurar las instancias de VM con el permiso de acceso más eficaz (cloud-platform) y, luego, usar las funciones de IAM para restringir el acceso a operaciones y API específicas. Para obtener más información, consulta Permisos de la cuenta de servicio.