Questo documento descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) utilizzati da Cloud Monitoring. È rivolta agli amministratori che configurano e concedono ruoli e autorizzazioni.
Best practice
Ti consigliamo di creare gruppi Google per gestire l'accesso ai progetti Cloud:
- Per saperne di più, consulta Gestire i gruppi nella console Google Cloud.
- Per informazioni sui limiti dei ruoli, vedi Impostare i limiti per la concessione dei ruoli.
Controlli di servizio VPC
Per controllare ulteriormente l'accesso ai dati di monitoraggio, utilizza Controlli di servizio VPC oltre a IAM.
I Controlli di servizio VPC forniscono una sicurezza aggiuntiva per Cloud Monitoring per ridurre il rischio di esfiltrazione dei dati. Utilizzando i controlli di servizio VPC, puoi aggiungere un ambito delle metriche a un perimetro di servizio che protegge le risorse e i servizi di Cloud Monitoring dalle richieste provenienti dall'esterno del perimetro.
Per scoprire di più sui perimetri di servizio, consulta la documentazione di configurazione del perimetro di servizio dei Controlli di servizio VPC.
Per informazioni sul supporto di Monitoring per i Controlli di servizio VPC, incluse le limitazioni note, consulta la documentazione di Monitoring per i controlli di servizio VPC.
Concedi l'accesso a Cloud Monitoring
Per gestire i ruoli IAM per le entità, puoi utilizzare la pagina Identity and Access Management nella console Google Cloud. Tuttavia, Cloud Monitoring offre un'interfaccia semplificata che consente di gestire i ruoli specifici di Monitoring, i ruoli a livello di progetto e i ruoli comuni per Cloud Logging e Cloud Trace.
Per concedere alle entità l'accesso a Monitoring, Cloud Logging o Cloud Trace oppure per concedere un ruolo a livello di progetto:
- Nella console Google Cloud, seleziona Monitoring
o fai clic sul pulsante seguente:
Vai a Monitoring Nel pannello di navigazione, seleziona Autorizzazioni.
La pagina Autorizzazioni non mostra tutte le entità. Elenca solo le entità con un ruolo a livello di progetto o un ruolo specifico per Monitoring, Logging o Trace.
Le opzioni disponibili in questa pagina consentono di visualizzare tutte le entità i cui ruoli includono qualsiasi autorizzazione di Monitoring.
Fai clic su Concedi l'accesso.
Fai clic su Nuove entità e inserisci il nome utente per l'entità. Puoi aggiungere diverse entità.
Espandi arrow_drop_down Seleziona un ruolo, seleziona un valore dal menu Per prodotto o servizio, quindi seleziona un ruolo dal menu Ruoli:
Selezione Per prodotto o servizio Selezione dei ruoli Descrizione Monitoring Visualizzatore Monitoring Visualizzare i dati e le informazioni di configurazione di Monitoring. Ad esempio, le entità con questo ruolo possono visualizzare dashboard personalizzate e criteri di avviso. Monitoring Editor di Monitoring Visualizzare i dati di Monitoring e creare e modificare le configurazioni. Ad esempio, le entità con questo ruolo possono creare dashboard personalizzate e criteri di avviso. Monitoring Amministratore Monitoring Visualizza i dati di Monitoring, crea e modifica configurazioni e modifica l'ambito delle metriche. Cloud Trace Utente Cloud Trace Accesso completo alla console di Trace, accesso in lettura alle tracce e accesso in lettura/scrittura ai sink. Per maggiori informazioni, consulta la pagina Ruoli Trace. Cloud Trace Amministratore Cloud Trace Accesso completo alla console di traccia, accesso in lettura/scrittura alle tracce e accesso in lettura/scrittura ai sink. Per maggiori informazioni, consulta la pagina Ruoli Trace. Logging Visualizzatore log Accesso in visualizzazione ai log. Per maggiori informazioni, consulta Ruoli di logging. Logging Amministratore Logging Accesso completo a tutte le funzionalità di Cloud Logging. Per saperne di più, consulta Ruoli di logging. Progetto Visualizzatore Accesso in visualizzazione alla maggior parte delle risorse di Google Cloud. Progetto Editor Visualizza, crea, aggiorna ed elimina la maggior parte delle risorse Google Cloud. Progetto Proprietario Accesso completo alla maggior parte delle risorse di Google Cloud. Facoltativo: per concedere le stesse entità a un altro ruolo, fai clic su Aggiungi un altro ruolo e ripeti il passaggio precedente.
Fai clic su Salva.
I passaggi precedenti spiegano come concedere determinati ruoli all'entità utilizzando il monitoraggio delle pagine nella console Google Cloud. Per questi ruoli, questa pagina supporta anche le opzioni di modifica ed eliminazione:
Per rimuovere i ruoli per un'entità, seleziona la casella accanto all'entità e fai clic su Rimuovi accesso.
Per modificare i ruoli di un'entità, fai clic su edit Modifica. Dopo aver aggiornato le impostazioni, fai clic su Salva.
Panoramica di IAM per Monitoring
Per utilizzare Monitoring, devi disporre delle autorizzazioni IAM appropriate.
In generale, ogni metodo REST in un'API è associato a un'autorizzazione e devi avere l'autorizzazione per utilizzare il metodo corrispondente. Le autorizzazioni non vengono concesse direttamente agli utenti, ma indirettamente mediante i ruoli, che raggruppano più autorizzazioni per semplificarne la gestione. Per saperne di più su questi concetti, vedi Concetti relativi alla gestione dell'accesso.
I ruoli per le combinazioni comuni di autorizzazioni sono predefinite, ma puoi anche creare combinazioni personalizzate di autorizzazioni creando ruoli personalizzati IAM.
Ruoli predefiniti
I seguenti ruoli IAM sono predefiniti da Cloud Monitoring. Le autorizzazioni vengono concesse solo per Monitoring.
Monitoring
I seguenti ruoli concedono autorizzazioni generali per Monitoring:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.viewerVisualizzatore Monitoring |
Concede l'accesso di sola lettura a Monitoring nella console e nell'API Google Cloud. |
roles/monitoring.editorEditor Monitoring |
Concede l'accesso in lettura e scrittura a Monitoring nella console e nell'API Google Cloud, mentre concede l'accesso in lettura/scrittura a un ambito delle metriche quando utilizzi la console Google Cloud. L'accesso in scrittura a un ambito delle metriche concede l'autorizzazione per aggiungere (o rimuovere) i progetti Google Cloud monitorati a tale ambito. |
roles/monitoring.adminAmministratore Monitoring |
Concede l'accesso completo a Monitoring nella console e nell'API Google Cloud, mentre concede l'accesso in lettura/scrittura a un ambito delle metriche. L'accesso in scrittura a un ambito delle metriche concede l'autorizzazione per aggiungere (o rimuovere) i progetti Google Cloud monitorati a tale ambito. |
Il seguente ruolo viene utilizzato dagli account di servizio per l'accesso in sola scrittura:
| Nome Titolo |
Descrizione |
|---|---|
roles/monitoring.metricWriterMonitor per la creazione di metriche |
Consente di scrivere i dati di monitoraggio in un ambito delle metriche. non consente l'accesso a Monitoring nella console Google Cloud. Questo ruolo è riservato agli account di servizio e agli agenti. |
Criteri di avviso
I seguenti ruoli concedono le autorizzazioni per i criteri di avviso:
| Nome Titolo |
Descrizione |
|---|---|
roles/monitoring.alertPolicyViewerVisualizzatore AlertPolicy Monitoring |
Concede l'accesso di sola lettura ai criteri di avviso. |
roles/monitoring.alertPolicyEditorMonitoraggio AlertPolicy Editor |
Concede l'accesso in lettura/scrittura ai criteri di avviso. |
Dashboard
I ruoli seguenti concedono le autorizzazioni solo per le dashboard:
| Nome Titolo |
Descrizione |
|---|---|
roles/monitoring.dashboardViewerVisualizzatore configurazione dashboard di Monitoring |
Concede l'accesso di sola lettura alle configurazioni della dashboard. |
roles/monitoring.dashboardEditorEditor della configurazione della dashboard di Monitoring |
Concede l'accesso in lettura/scrittura alle configurazioni della dashboard. |
Incidenti
I seguenti ruoli concedono le autorizzazioni generali per visualizzare gli incidenti:
| Nome Titolo |
Descrizione |
|---|---|
roles/monitoring.viewerVisualizzatore Monitoring |
Concede le autorizzazioni per visualizzare gli incidenti. |
roles/monitoring.editorEditor di Monitoring |
Concede le autorizzazioni per visualizzare, confermare e chiudere gli incidenti. |
roles/monitoring.adminAmministratore Monitoring |
Concede le autorizzazioni per visualizzare, confermare e chiudere gli incidenti. |
Per visualizzare i dettagli di un incidente, devi disporre almeno del ruolo di Identity and Access Management di roles/monitoring.viewer.
Per maggiori informazioni, consulta la sezione Impossibile visualizzare i dettagli dell'incidente a causa di un errore di autorizzazione.
Canali di notifica
I ruoli seguenti concedono le autorizzazioni solo per i canali di notifica:
| Nome Titolo |
Descrizione |
|---|---|
roles/monitoring.notificationChannelViewerVisualizzatore MonitoringChannelChannel |
Concede ai canali di notifica l'accesso in sola lettura. |
roles/monitoring.notificationChannelEditorMonitoraggio dell'editor NotificationChannel |
Concede ai canali di notifica l'accesso in lettura/scrittura. |
Posticipare le notifiche
I seguenti ruoli concedono le autorizzazioni per la posticipazione delle notifiche:
| Nome Titolo |
Descrizione |
|---|---|
roles/monitoring.snoozeViewerMonitora il visualizzatore posticipazione |
Concede l'accesso di sola lettura alle posticipazioni. |
roles/monitoring.snoozeEditorMonitoraggio dell'editor di posticipazione |
Concede l'accesso in lettura/scrittura alle posticipazioni. |
Monitoraggio dei servizi
I seguenti ruoli concedono le autorizzazioni per la gestione dei servizi:
| Nome Titolo |
Descrizione |
|---|---|
roles/monitoring.servicesViewerVisualizzatore servizi di Monitoring |
Concede ai servizi l'accesso di sola lettura. |
roles/monitoring.servicesEditorEditor servizi Monitoring |
Concede l'accesso in lettura/scrittura ai servizi. |
Per saperne di più sul monitoraggio dei servizi, consulta Monitoraggio SLO.
Configurazioni dei controlli di uptime
I ruoli seguenti concedono le autorizzazioni solo per le configurazioni del controllo di uptime:
| Nome Titolo |
Descrizione |
|---|---|
roles/monitoring.uptimeCheckConfigViewerVisualizzatore configurazioni di controllo di uptime |
Concede l'accesso di sola lettura alle configurazioni del controllo di uptime. |
roles/monitoring.uptimeCheckConfigEditorEditor delle configurazioni del controllo di uptime |
Concede l'accesso in lettura/scrittura alle configurazioni dei controlli di uptime. |
Configurazioni dell'ambito delle metriche
I seguenti ruoli concedono autorizzazioni generali per gli ambiti delle metriche:
| Nome Titolo |
Descrizione |
|---|---|
roles/monitoring.metricsScopesViewerVisualizzatore ambiti di metriche di Monitoring |
Concede l'accesso di sola lettura agli ambiti delle metriche. |
roles/monitoring.metricsScopesAdminAmministratore ambiti di monitoraggio delle metriche |
Concede l'accesso in lettura e scrittura agli ambiti delle metriche. |
Google Cloud
I ruoli seguenti concedono le autorizzazioni per molti servizi e risorse in Google Cloud, incluso Monitoring:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/viewerVisualizzatore |
Le autorizzazioni di Monitoring sono esattamente le autorizzazioni
in roles/monitoring.viewer.
|
roles/editorEditor |
Le autorizzazioni di Monitoring sono le stesse di
Questo ruolo non concede l'autorizzazione per modificare l'ambito delle metriche.
Per modificare un ambito delle metriche quando utilizzi l'API, il ruolo deve includere l'autorizzazione |
roles/ownerProprietario |
Le autorizzazioni di Monitoring sono le stesse di
roles/monitoring.admin.
|
Ruoli personalizzati
Puoi anche creare ruoli personalizzati che contengono elenchi di autorizzazioni. Per ulteriori dettagli sui ruoli e sulle autorizzazioni, vai ad Autorizzazioni e ruoli e Ruoli personalizzati in questa pagina.
Autorizzazioni e ruoli
In questa sezione sono elencate le autorizzazioni e i ruoli IAM applicabili a Monitoring.
Autorizzazioni API
Ogni metodo dell'API Monitoring richiede un'autorizzazione IAM specifica, come indicato nella tabella seguente.
| Metodo API Monitoring | Autorizzazione | Tipo di risorsa |
|---|---|---|
projects.alertPolicies.create |
monitoring.alertPolicies.create |
progetto |
projects.alertPolicies.delete |
monitoring.alertPolicies.delete |
AlertPolicy |
projects.alertPolicies.get |
monitoring.alertPolicies.get |
AlertPolicy |
projects.alertPolicies.list |
monitoring.alertPolicies.list |
progetto |
projects.alertPolicies.patch |
monitoring.alertPolicies.update |
AlertPolicy |
projects.dashboards.create |
monitoring.dashboards.create |
progetto |
projects.dashboards.delete |
monitoring.dashboards.delete |
progetto |
projects.dashboards.get |
monitoring.dashboards.get |
progetto |
projects.dashboards.list |
monitoring.dashboards.list |
progetto |
projects.dashboards.patch |
monitoring.dashboards.update |
progetto |
projects.groups.create |
monitoring.groups.create |
progetto |
projects.groups.delete |
monitoring.groups.delete |
Group |
projects.groups.get |
monitoring.groups.get |
Group |
projects.groups.list |
monitoring.groups.list |
progetto |
projects.groups.update |
monitoring.groups.update |
Group |
projects.groups.members.list |
monitoring.groups.get |
Group |
projects.metricDescriptors.create |
monitoring.metricDescriptors.create |
progetto |
projects.metricDescriptors.delete |
monitoring.metricDescriptors.delete |
MetricDescriptor |
projects.metricDescriptors.get |
monitoring.metricDescriptors.get |
MetricDescriptor |
projects.metricDescriptors.list |
monitoring.metricDescriptors.list |
progetto |
projects.monitoredResourceDescriptors.get |
monitoring.monitoredResourceDescriptors.get |
MonitoredResourceDescriptor |
projects.monitoredResourceDescriptors.list |
monitoring.monitoredResourceDescriptors.list |
progetto |
projects.notificationChannelDescriptors.get |
monitoring.notificationChannelDescriptors.get |
NotificationChannelDescriptor |
projects.notificationChannelDescriptors.list |
monitoring.notificationChannelDescriptors.list |
progetto |
projects.notificationChannels.create |
monitoring.notificationChannels.create |
progetto |
projects.notificationChannels.delete |
monitoring.notificationChannels.delete |
NotificationChannel |
projects.notificationChannels.get |
monitoring.notificationChannels.get |
NotificationChannel |
projects.notificationChannels.getVerificationCode |
monitoring.notificationChannels.getVerificationCode |
NotificationChannel |
projects.notificationChannels.list |
monitoring.notificationChannels.list |
progetto |
projects.notificationChannels.patch |
monitoring.notificationChannels.update |
NotificationChannel |
projects.notificationChannels.sendVerificationCode |
monitoring.notificationChannels.sendVerificationCode |
NotificationChannel |
projects.notificationChannels.verify |
monitoring.notificationChannels.verify |
NotificationChannel |
projects.services.create |
monitoring.services.create |
progetto |
projects.services.delete |
monitoring.services.delete |
Service |
projects.services.get |
monitoring.services.get |
Service |
projects.services.list |
monitoring.services.list |
progetto |
projects.services.patch |
monitoring.services.update |
Service |
projects.services.serviceLevelObjectives.create |
monitoring.slos.create |
progetto |
projects.services.serviceLevelObjectives.delete |
monitoring.slos.delete |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.get |
monitoring.slos.get |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.list |
monitoring.slos.list |
progetto |
projects.services.serviceLevelObjectives.patch |
monitoring.slos.update |
ServiceLevelObjective |
projects.timeSeries.create |
monitoring.timeSeries.create |
progetto |
projects.timeSeries.list |
monitoring.timeSeries.list |
progetto, cartella, organizzazione |
projects.timeSeries.query |
monitoring.timeSeries.list |
progetto |
projects.uptimeCheckConfigs.create |
monitoring.uptimeCheckConfigs.create |
UptimeCheckConfig |
projects.uptimeCheckConfigs.delete |
monitoring.uptimeCheckConfigs.delete |
UptimeCheckConfig |
projects.uptimeCheckConfigs.get |
monitoring.uptimeCheckConfigs.get |
UptimeCheckConfig |
projects.uptimeCheckConfigs.list |
monitoring.uptimeCheckConfigs.list |
UptimeCheckConfig |
projects.uptimeCheckConfigs.patch |
monitoring.uptimeCheckConfigs.update |
UptimeCheckConfig |
locations.global.metricsScopes.get |
resourcemanager.projects.get |
progetto |
locations.global.metricsScopes/listMetricScopesByMonitoredProject |
resourcemanager.projects.get |
progetto |
locations.global.metricsScopes.projects.create |
monitoring.metricsScopes.link |
progetto |
locations.global.metricsScopes.projects.delete |
monitoring.metricsScopes.link |
progetto |
Autorizzazioni della console per Monitoring
Ogni funzionalità di Monitoring nella console Google Cloud richiede che tu disponga dell'autorizzazione per l'API utilizzata per implementare la funzionalità. Ad esempio,
per poter sfogliare i gruppi è necessario disporre dell'autorizzazione per i metodi
list e get applicabili ai gruppi e ai membri dei gruppi.
Potresti perdere funzionalità se le autorizzazioni richieste vengono revocate.
La seguente tabella elenca le autorizzazioni necessarie per utilizzare Monitoring nella console Google Cloud:
| Attività | Autorizzazioni obbligatorie | Per tipo di risorsa |
|---|---|---|
| Accesso di sola lettura | L'insieme di autorizzazioni incluse nel ruolo roles/monitoring.viewer |
progetto. |
| Console di accesso in lettura/scrittura | L'insieme di autorizzazioni incluse nel ruolo roles/monitoring.editor |
progetto. |
| Accesso completo alla console | L'insieme di autorizzazioni incluse nel ruolo roles/monitoring.admin |
progetto. |
Ruoli
Nella tabella seguente sono elencati i ruoli IAM che consentono di accedere a Monitoring e le autorizzazioni associate a ciascun ruolo.
Molti di questi ruoli sono stati laureati: ad esempio, il ruolo roles/monitoring.editor include tutte le autorizzazioni del ruolo roles/monitoring.viewer e un insieme aggiuntivo di autorizzazioni.
I ruoli possono essere assegnati solo a livello di progetto.
Monitoring
I ruoli Monitoring includono le seguenti autorizzazioni:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.viewerVisualizzatore Monitoring |
cloudnotifications.activities.listmonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.dashboards.getmonitoring.dashboards.listmonitoring.groups.getmonitoring.groups.listmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.listmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listopsconfigmonitoring.resourceMetadata.listresourcemanager.projects.getresourcemanager.projects.liststackdriver.projects.get
stackdriver.resourceMetadata.list |
roles/monitoring.editorEditor Monitoring |
cloudnotifications.activities.listmonitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.updatemonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.updatemonitoring.groups.createmonitoring.groups.deletemonitoring.groups.getmonitoring.groups.listmonitoring.groups.updatemonitoring.metricDescriptors.createmonitoring.metricDescriptors.deletemonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verifymonitoring.publicWidgets.createmonitoring.publicWidgets.deletemonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.publicWidgets.updatemonitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.updatemonitoring.snoozes.createmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.snoozes.updatemonitoring.timeSeries.createmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.updateopsconfigmonitoring.resourceMetadata.writeopsconfigmonitoring.resourceSnapshot.createresourcemanager.projects.getresourcemanager.projects.listserviceusage.services.enablestackdriver.projects.editstackdriver.projects.getstackdriver.resourceMetadata.write
|
roles/monitoring.adminAmministratore Monitoring |
Le autorizzazioni in roles/monitoring.editor,
oltre a quanto segue:monitoring.notificationChannels.getVerificationCodemonitoring.metricsScopes.link |
Il seguente ruolo viene utilizzato dagli account di servizio per l'accesso in sola scrittura:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.metricWriterMonitoring Writer metriche |
monitoring.metricDescriptors.createmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.timeSeries.create
|
Criteri di avviso
I ruoli dei criteri di avviso includono queste autorizzazioni:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.alertPolicyViewerVisualizzatore AlertPolicy Monitoring |
monitoring.alertPolicies.getmonitoring.alertPolicies.list |
roles/monitoring.alertPolicyEditorEditor AlertPolicy Monitoring |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.update |
Dashboard
I ruoli delle dashboard includono le seguenti autorizzazioni:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.dashboardViewerVisualizzatore configurazione dashboard di Monitoring |
monitoring.dashboards.getmonitoring.dashboards.list |
roles/monitoring.dashboardEditorEditor configurazione dashboard di Monitoring |
monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.update |
Canali di notifica
I ruoli Canali di notifica includono le seguenti autorizzazioni:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.notificationChannelViewerVisualizzatore NotificationChannel Monitoring |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.list |
roles/monitoring.notificationChannelEditorMonitoraggio dell'editor NotificationChannel |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verify |
Posticipare le notifiche
I ruoli Posticipa includono le autorizzazioni necessarie per visualizzare o creare le posticipazioni.
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.snoozeViewerMonitoraggio del visualizzatore posticipazione |
monitoring.snoozes.getmonitoring.snoozes.list |
roles/monitoring.snoozeEditorMonitoraggio dell'editor posticipazione |
monitoring.snoozes.createmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.snoozes.update |
Monitoraggio dei servizi
I ruoli di monitoraggio del servizio includono le seguenti autorizzazioni:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.servicesViewerVisualizzatore servizi di Monitoring |
monitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.list |
roles/monitoring.servicesEditorEditor servizi di monitoraggio |
monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.update |
Configurazioni dei controlli di uptime
I ruoli di configurazione del controllo di uptime includono queste autorizzazioni:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.uptimeCheckConfigViewerVisualizzatore configurazioni di controllo di uptime |
monitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.list |
roles/monitoring.uptimeCheckConfigEditorEditor configurazioni di controllo di uptime |
monitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.update |
Configurazione dell'ambito delle metriche
I ruoli di configurazione dell'ambito delle metriche includono queste autorizzazioni:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/monitoring.metricsScopesViewerVisualizzatore ambiti di metriche di monitoraggio |
resourcemanager.projects.getresourcemanager.projects.list |
roles/monitoring.metricsScopesAdminAmministratore delle metriche di Monitoring Aggiungi e rimuovi i progetti monitorati. |
resourcemanager.projects.getresourcemanager.projects.listmonitoring.metricsScopes.link |
Google Cloud
I ruoli Google Cloud includono queste autorizzazioni:
| Nome Titolo |
Include autorizzazioni |
|---|---|
roles/viewerVisualizzatore |
Le autorizzazioni di Monitoring sono esattamente le autorizzazioni
in roles/monitoring.viewer.
|
roles/editorEditor |
Le autorizzazioni di Monitoring sono le stesse di
Questo ruolo non concede l'autorizzazione per modificare l'ambito delle metriche.
Per modificare un ambito delle metriche quando utilizzi l'API, il ruolo deve includere l'autorizzazione |
roles/ownerProprietario |
Le autorizzazioni di Monitoring sono le stesse di
roles/monitoring.admin.
|
Concessione di ruoli IAM
I proprietari del progetto, gli editor e gli account di servizio predefiniti per Compute Engine e App Engine dispongono già delle autorizzazioni necessarie; tuttavia, per altri account utente, potrebbe essere necessario concedere questi ruoli in modo esplicito.
Ad esempio, affinché un account utente possa leggere o scrivere descrittori delle metriche utilizzando l'API Monitoring, è necessario che l'utente disponga delle autorizzazioni IAM appropriate.monitoring.metricDescriptors.* Questi possono essere forniti concedendo i ruoli Visualizzatore Monitoring (roles/monitoring.viewer) ed Editor Monitoring (roles/monitoring.editor) predefiniti.
Per saperne di più, vedi Autorizzazioni API.
Queste autorizzazioni possono essere concesse utilizzando Google Cloud CLI o Google Cloud Console (Google Cloud Console).
Google Cloud CLI
Utilizza il comando gcloud projects add-iam-policy-binding per concedere il ruolo monitoring.viewer o monitoring.editor.
Ad esempio:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Puoi confermare i ruoli concessi utilizzando il comando gcloud projects get-iam-policy:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
console Google Cloud
Vai alla console Google Cloud:
Se necessario, fai clic sull'elenco a discesa dei progetti Google Cloud e seleziona il nome del progetto in cui vuoi abilitare l'API.
Per espandere il menu di navigazione, fai clic su Menu arrow_drop_down.
Fai clic su IAM e amministrazione.
Se l'utente è un membro, fai clic su Modifica edit per modificare le sue autorizzazioni. Puoi modificare il ruolo esistente o aggiungerne uno aggiuntivo. Per salvare le modifiche, fai clic su Salva.
Se l'utente non è un membro, procedi nel seguente modo:
- Fai clic su Add (Aggiungi).
- Inserisci il nome utente nella casella di testo Nuovi membri.
- In Seleziona un ruolo, fai clic su menu arrow_drop_down.
- Nella barra dei filtri filter_list, inserisci il ruolo appropriato:
- L'editor di Monitoring concede l'accesso in lettura/scrittura.
- Il Visualizzatore Monitoring concede l'accesso di sola lettura.
Ruoli personalizzati
Ti consigliamo di creare un ruolo personalizzato quando vuoi concedere a un'entità un insieme di autorizzazioni più limitato rispetto a quelli concessi ai ruoli predefiniti.
Ad esempio, se configuri Assured Workloads perché hai requisiti relativi alla residenza dei dati o al impatto di livello 4 (IL4), non dovresti utilizzare i controlli di uptime perché non vi è alcuna garanzia che i dati dei controlli di uptime siano conservati in una posizione geografica specifica.
Per evitare l'utilizzo di controlli di uptime, crea un ruolo che non includa autorizzazioni con il prefisso monitoring.uptimeCheckConfigs.
Per creare un ruolo personalizzato con le autorizzazioni di Monitoring, procedi come segue:
Per un ruolo che concede autorizzazioni solo per l'API Monitoring, scegli tra le autorizzazioni nella sezione Autorizzazioni API.
Per un ruolo che concede autorizzazioni per Monitoring nella console Google Cloud, scegli tra i gruppi di autorizzazioni nella sezione Autorizzazioni della console per Monitoring.
Per concedere la possibilità di scrivere i dati di monitoraggio, includi le autorizzazioni del ruolo
roles/monitoring.metricWriternella sezione Ruoli.
Per saperne di più sui ruoli personalizzati, consulta Informazioni sui ruoli personalizzati IAM.
Ambiti di accesso Compute Engine
Gli ambiti di accesso sono il metodo legacy per specificare le autorizzazioni per le istanze VM di Compute Engine. I seguenti ambiti di accesso si applicano a Monitoring:
| Ambito dell'accesso | Autorizzazioni concesse |
|---|---|
| https://www.googleapis.com/auth/monitoring.read | Le stesse autorizzazioni presenti in roles/monitoring.viewer. |
| https://www.googleapis.com/auth/monitoring.write | Le stesse autorizzazioni presenti in roles/monitoring.metricWriter. |
| https://www.googleapis.com/auth/monitoring | Accesso completo a Monitoring. |
| https://www.googleapis.com/auth/cloud-platform | Accesso completo a tutte le API Cloud abilitate. |
Per informazioni dettagliate, vai a Ambiti di accesso.
Best practice Poiché i ruoli IAM dell'account di servizio sono facili da configurare e modificare, è consigliabile assegnare alle istanze VM l'ambito di accesso più potente (cloud-platform) e utilizzare i ruoli IAM per limitare l'accesso a API e operazioni specifiche. Per maggiori dettagli, vai ad Autorizzazioni dell'account di servizio.