Contrôler les accès avec IAM

Pour utiliser Monitoring, vous devez disposer des autorisations Identity and Access Management (IAM) appropriées. En général, chaque méthode REST d'une API a une autorisation associée. Pour utiliser la méthode ou une fonctionnalité de console qui en dépend, vous devez être autorisé à utiliser la méthode correspondante. Les autorisations ne sont pas accordées directement aux utilisateurs. Les autorisations sont accordées indirectement via des rôles, qui regroupent plusieurs autorisations pour faciliter leur gestion:

Les rôles associés aux combinaisons courantes d'autorisations sont prédéfinis. Toutefois, vous pouvez également créer vos propres combinaisons d'autorisations en créant des rôles personnalisés IAM.

Bonne pratique

Nous vous recommandons de créer des groupes Google pour gérer l'accès aux projets Google Cloud:

d'utiliser VPC Service Controls

Pour mieux contrôler l'accès aux données de surveillance, utilisez VPC Service Controls en plus d'IAM.

VPC Service Controls offre une sécurité supplémentaire pour Cloud Monitoring afin de réduire le risque d'exfiltration de données. À l'aide de VPC Service Controls, vous pouvez ajouter un champ d'application des métriques à un périmètre de service afin de protéger les ressources et les services Cloud Monitoring des requêtes provenant de l'extérieur du périmètre.

Pour en savoir plus sur les périmètres de service, consultez la documentation concernant la configuration du périmètre de service VPC Service Controls.

Pour en savoir plus sur la compatibilité de Monitoring avec VPC Service Controls, y compris les limites connues, consultez la documentation sur VPC Service Controls et Monitoring.

Accorder l'accès à Cloud Monitoring

Pour gérer les rôles IAM pour les comptes principaux, vous pouvez utiliser la page Identity and Access Management dans la console Google Cloud ou la Google Cloud CLI. Cependant, Cloud Monitoring offre une interface simplifiée qui vous permet de gérer vos rôles spécifiques à Monitoring, vos rôles au niveau du projet, ainsi que les rôles communs à Cloud Logging et Cloud Trace.

Pour accorder aux comptes principaux l'accès à Monitoring, Cloud Logging ou Cloud Trace, ou pour accorder un rôle au niveau du projet, procédez comme suit:

Console

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Monitoring, puis  Autorisations:

    Accédez à Autorisations.

    La page Autorisations n'affiche pas tous les comptes principaux. Il ne répertorie que les comptes principaux disposant d'un rôle au niveau du projet ou d'un rôle spécifique à Monitoring, Logging ou Trace.

    Les options de cette page vous permettent d'afficher tous les comptes principaux dont les rôles incluent n'importe quelle autorisation Monitoring.

  2. Cliquez sur Accorder l'accès.

  3. Cliquez sur Nouveaux comptes principaux, puis saisissez leur nom d'utilisateur. Vous pouvez ajouter plusieurs comptes principaux.

  4. Développez Sélectionner un rôle, sélectionnez une valeur dans le menu Par produit ou service, puis sélectionnez un rôle dans le menu Rôles:

    Par produit ou service sélectionné Sélection des rôles Description
    Surveillance Lecteur Monitoring Afficher les données Monitoring et les informations de configuration Par exemple, les comptes principaux dotés de ce rôle peuvent afficher des tableaux de bord personnalisés et des règles d'alerte.
    Surveillance Éditeur Monitoring Consultez les données Monitoring, et créez et modifiez des configurations. Par exemple, les comptes principaux dotés de ce rôle peuvent créer des tableaux de bord personnalisés et des règles d'alerte.
    Surveillance Administrateur Monitoring Afficher les données Monitoring, créer et modifier des configurations, et modifier le champ d'application des métriques.
    Cloud Trace Utilisateur Cloud Trace Accès complet à la console Trace, accès en lecture aux traces et accès en lecture/écriture aux récepteurs. Pour en savoir plus, consultez la section Rôles de trace.
    Cloud Trace Administrateur Cloud Trace Accès complet à la console Trace, accès en lecture/écriture aux traces et accès en lecture/écriture aux récepteurs. Pour en savoir plus, consultez la section Rôles de trace.
    Journalisation Visionneuse de journaux Accès en lecture aux journaux. Pour en savoir plus, consultez la section Rôles Logging.
    Journalisation Administrateur Logging Accès complet à toutes les fonctionnalités de Cloud Logging. Pour en savoir plus, consultez la section Rôles Logging.
    Projet Lecteur Accès en lecture à la plupart des ressources Google Cloud.
    Projet Éditeur Consultez, créez, modifiez et supprimez la plupart des ressources Google Cloud.
    Projet Propriétaire Accès complet à la plupart des ressources Google Cloud.
  5. Facultatif: Pour attribuer un autre rôle aux mêmes comptes principaux, cliquez sur Ajouter un autre rôle et répétez l'étape précédente.

  6. Cliquez sur Enregistrer.

Les étapes précédentes décrivent comment attribuer certains rôles à un compte principal à l'aide des pages Monitoring de la console Google Cloud. Pour ces rôles, cette page accepte également les options de modification et de suppression:

  • Pour supprimer les rôles d'un compte principal, cochez la case à côté du compte principal, puis cliquez sur Supprimer l'accès.

  • Pour modifier les rôles d'un compte principal, cliquez sur Modifier . Une fois les paramètres modifiés, cliquez sur Enregistrer.

gcloud

Utilisez la commande gcloud projects add-iam-policy-binding pour attribuer le rôle monitoring.viewer ou monitoring.editor.

Exemple :

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Vous pouvez confirmer les rôles attribués à l'aide de la commande gcloud projects get-iam-policy :

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Rôles prédéfinis

Cette section répertorie un sous-ensemble de rôles IAM prédéfinis par Cloud Monitoring.

Rôles Monitoring

Les rôles suivants accordent des autorisations générales pour Monitoring :

Titre
Nom
Autorisations associées
roles/monitoring.viewer
Lecteur Monitoring
Accorde un accès en lecture seule à Monitoring dans la console Google Cloud et à l'API Cloud Monitoring.
roles/monitoring.editor
Éditeur Monitoring
Accorde un accès en lecture/écriture à Monitoring dans la console Google Cloud et à l'API Cloud Monitoring.
roles/monitoring.admin
Administrateur Monitoring
Accorde un accès complet à Monitoring dans la console Google Cloud et un accès en lecture/écriture à l'API Cloud Monitoring.

Le rôle suivant est utilisé par les comptes de service pour l'accès en écriture seule :

Titre
Nom
Description
roles/monitoring.metricWriter
Rédacteur de métriques Monitoring

Ce rôle est destiné aux agents et aux comptes de service.
N'autorise pas l'accès à Monitoring dans la console Google Cloud.
Permet d'écrire des données de surveillance dans un champ d'application de métriques.

Rôles des règles d'alerte

Les rôles suivants accordent des autorisations pour les règles d'alerte:

Titre
Nom
Description
roles/monitoring.alertPolicyViewer
Lecteur Monitoring AlertPolicy
Accorde un accès en lecture seule aux règles d'alerte.
roles/monitoring.alertPolicyEditor
Éditeur Monitoring AlertPolicy
Accorde un accès en lecture/écriture aux règles d'alerte.

Rôles dans le tableau de bord

Les rôles suivants n'accordent d'autorisations que pour les tableaux de bord :

Titre
Nom
Description
roles/monitoring.dashboardViewer
Lecteur de configuration du tableau de bord Monitoring
Accorde un accès en lecture seule aux configurations de tableau de bord.
roles/monitoring.dashboardEditor
Éditeur de configuration du tableau de bord Monitoring
Accorde un accès en lecture/écriture aux configurations de tableau de bord.

Rôles associés aux incidents

Les rôles suivants n'accordent des autorisations que pour les incidents:

Titre
Nom
Description
roles/monitoring.cloudConsoleIncidentViewer
Lecteur d'incidents Monitoring (via la console Cloud)
Permet d'afficher les incidents à l'aide de la console Google Cloud.
roles/monitoring.cloudConsoleIncidentEditor
Éditeur d'incidents Monitoring (via la console Cloud)
Permet d'afficher, de confirmer et de fermer les incidents à l'aide de la console Google Cloud.

Pour savoir comment résoudre les erreurs d'autorisation IAM lors de l'affichage des incidents, consultez la section Impossible d'afficher les détails des incidents en raison d'une erreur d'autorisation.

Rôles des canaux de notification

Les rôles suivants n'accordent que des autorisations NotificationChannel (canaux de notification) :

Titre
Nom
Description
roles/monitoring.notificationChannelViewer
Lecteur Monitoring NotificationChannel
Accorde un accès en lecture seule aux canaux de notification.
roles/monitoring.notificationChannelEditor
Éditeur Monitoring NotificationChannel
Accorde un accès en lecture/écriture aux canaux de notification.

Mettre en attente les rôles de notification

Les rôles suivants accordent des autorisations permettant de suspendre les notifications:

Titre
Nom
Description
roles/monitoring.snoozeViewer
Lecteur de mises en attente Monitoring
Accorde un accès en lecture seule aux mises en attente.
roles/monitoring.snoozeEditor
Éditeur de mise en attente Monitoring
Accorde un accès en lecture/écriture aux mises en pause.

Rôles Service Monitoring

Les rôles suivants accordent des autorisations pour la gestion des services :

Titre
Nom
Description
roles/monitoring.servicesViewer
Lecteur pour les services de surveillance
Accorde un accès en lecture seule aux services.
roles/monitoring.servicesEditor
Collaborateur pour les services de surveillance
Accorde un accès en lecture/écriture aux services.

Pour en savoir plus sur la surveillance des services, consultez la page Surveillance SLO.

Rôles de configuration des tests de disponibilité

Les rôles suivants n'accordent d'autorisations que pour les configurations des tests de disponibilité :

Titre
Nom
Description
roles/monitoring.uptimeCheckConfigViewer
Lecteur de configuration des tests de disponibilité Monitoring
Accorde un accès en lecture seule aux configurations de tests de disponibilité.
roles/monitoring.uptimeCheckConfigEditor
Éditeur de configuration des tests de disponibilité Monitoring
Accorde un accès en lecture/écriture aux configurations des tests de disponibilité.

Rôles de configuration du champ d'application des métriques

Les rôles suivants accordent des autorisations générales pour les champs d'application de métriques:

Titre
Nom
Description
roles/monitoring.metricsScopesViewer
Lecteur des champs d'application des métriques de surveillance
Accorde un accès en lecture seule aux champs d'application des métriques.
roles/monitoring.metricsScopesAdmin
Administrateur des champs d'application des métriques de surveillance
Accorde un accès en lecture/écriture aux champs d'application des métriques.

Autorisations pour les rôles prédéfinis

Cette section répertorie les autorisations attribuées aux rôles prédéfinis associés à Monitoring.

Pour en savoir plus sur les rôles prédéfinis, consultez la page IAM: rôles et autorisations. Pour obtenir de l'aide sur le choix des rôles prédéfinis les plus appropriés, consultez la section Choisir des rôles prédéfinis.

Autorisations pour les rôles Monitoring

Role Permissions

(roles/monitoring.admin)

Provides the same access as the Monitoring Editor role (roles/monitoring.editor).

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.publicWidgets.create
  • monitoring.publicWidgets.delete
  • monitoring.publicWidgets.get
  • monitoring.publicWidgets.list
  • monitoring.publicWidgets.update
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.publicWidgets.*

  • monitoring.publicWidgets.create
  • monitoring.publicWidgets.delete
  • monitoring.publicWidgets.get
  • monitoring.publicWidgets.list
  • monitoring.publicWidgets.update

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.publicWidgets.get

monitoring.publicWidgets.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Autorisations pour les rôles Ops Config Monitoring

Role Permissions

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Autorisations pour les rôles Stackdriver

Role Permissions

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Autorisations Monitoring incluses dans les rôles Google Cloud

Les rôles Google Cloud incluent les autorisations suivantes :

Titre
Nom
Autorisations associées
roles/viewer
Lecteur
Autorisations Monitoring identiques aux autorisations de roles/monitoring.viewer
roles/editor
Éditeur

Autorisations Monitoring identiques à celles de roles/monitoring.editor, à l'exception de l'autorisation stackdriver.projects.edit. Le rôle roles/editor n'inclut pas l'autorisation stackdriver.projects.edit.

Ce rôle n'accorde pas l'autorisation de modifier le champ d'application d'une métrique. Pour modifier un champ d'application des métriques lorsque vous utilisez l'API, votre rôle doit inclure l'autorisation monitoring.metricsScopes.link. Pour modifier un champ d'application des métriques lorsque vous utilisez la console Google Cloud, votre rôle doit inclure l'autorisation monitoring.metricsScopes.link ou le rôle roles/monitoring.editor.

roles/owner
Propriétaire
Autorisations Monitoring identiques aux autorisations de roles/monitoring.admin

Rôles personnalisés

Vous pouvez créer un rôle personnalisé lorsque vous souhaitez accorder à un compte principal un ensemble d'autorisations plus limité que celles accordées avec des rôles prédéfinis. Par exemple, si vous configurez Assured Workloads, car vous avez des exigences de résidence des données ou de niveau d'impact 4 (IL4), vous ne devez pas utiliser de tests de disponibilité, car il n'y a aucune garantie que les données de ces tests soient conservées dans un emplacement géographique spécifique. Pour empêcher l'utilisation de tests de disponibilité, créez un rôle n'incluant aucune autorisation portant le préfixe monitoring.uptimeCheckConfigs.

Pour créer un rôle personnalisé avec des autorisations Monitoring, procédez comme suit :

  • Pour un rôle n'accordant des autorisations que pour l'API Monitoring, choisissez l'une des autorisations dans la section Autorisations et rôles prédéfinis.

  • Pour un rôle accordant des autorisations pour Monitoring dans la console Google Cloud, choisissez l'un des groupes d'autorisations dans la section Rôles Monitoring.

  • Pour accorder la possibilité d'écrire des données de surveillance, incluez les autorisations du rôle roles/monitoring.metricWriter dans la section Autorisations et rôles prédéfinis.

Pour plus d'informations sur les rôles personnalisés, consultez la page Comprendre les rôles personnalisés d'IAM.

Champs d'application d'accès à Compute Engine

Les champs d'application d'accès représentent l'ancienne méthode de spécification des autorisations associées aux instances de VM Compute Engine. Les champs d'application d'accès suivants s'appliquent à Monitoring :

Champ d'application d'accès Autorisations attribuées
https://www.googleapis.com/auth/monitoring.read Les mêmes autorisations que le rôle roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write Les mêmes autorisations que le rôle roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Accès complet à Monitoring
https://www.googleapis.com/auth/cloud-platform Accès complet à toutes les API Google Cloud activées

Pour plus de détails, consultez la section sur les champs d'application d'accès.

Bonnes pratiques. Il est recommandé d'attribuer à vos instances de VM le niveau d'accès le plus élevé (cloud-platform), puis d'utiliser des rôles IAM pour restreindre l'accès à des API et des opérations spécifiques. Pour plus de détails, consultez la section relative aux autorisations de compte de service.