IAM으로 액세스 제어

Monitoring을 사용하려면 적절한 Identity and Access Management(IAM) 권한이 있어야 합니다. 일반적으로 한 API의 REST 메서드마다 연결된 권한이 하나씩 있습니다. 이 메서드 또는 이 메서드를 사용하는 콘솔 기능을 사용하려면 해당 메서드를 사용할 수 있는 권한이 있어야 합니다. 권한은 사용자에게 직접 부여되지 않습니다. 대신 역할을 통해 간접적으로 부여되며 역할에 따라 여러 권한이 그룹화되기 때문에 관리가 더욱 쉬워집니다.

액세스 제어에 대한 자세한 내용은 액세스 관리와 관련된 개념을 참조하세요.

주 구성원에 역할을 부여하는 방법은 Cloud Monitoring에 액세스 부여를 참조하세요.

일반적인 권한 조합의 역할은 사전 정의되어 있습니다. 하지만 IAM 커스텀 역할을 만들어 자체적인 권한 조합을 만들 수도 있습니다.

권장사항

Google Cloud 프로젝트에 대한 액세스 관리를 위해 Google 그룹을 만드는 것이 좋습니다.

자세한 내용은 Google Cloud 콘솔에서 그룹 관리를 참조하세요.
역할의 한도 설정에 대한 자세한 내용은 역할 부여 한도 설정을 참조하세요.
IAM 역할 및 권한의 전체 목록은 IAM 기본 및 사전 정의된 역할 참조를 확인하세요.

VPC 서비스 제어

모니터링 데이터에 대한 액세스를 추가로 제어하려면 IAM 외에 VPC 서비스 제어를 사용하세요.

VPC 서비스 제어는 Cloud Monitoring의 보안을 강화하여 데이터 유출 위험을 줄입니다. VPC 서비스 제어를 사용하면 경계 외부에서 시작되는 요청으로부터 Cloud Monitoring 리소스 및 서비스를 보호하는 서비스 경계에 측정항목 범위를 추가할 수 있습니다.

서비스 경계에 대한 자세한 내용은 VPC 서비스 제어 서비스 경계 구성 문서를 참조하세요.

알려진 제한사항을 포함하여 VPC 서비스 제어에 대한 Monitoring 지원 관련 정보는 Monitoring VPC 서비스 제어 문서를 참조하세요.

Cloud Monitoring에 액세스 부여

주 구성원의 IAM 역할을 관리하려면 Google Cloud 콘솔 또는 Google Cloud CLI에서 Identity and Access Management 페이지를 사용하면 됩니다. 하지만 Cloud Monitoring은 Monitoring 관련 역할, 프로젝트 수준 역할, Cloud Logging 및 Cloud Trace의 일반적인 역할을 관리할 수 있는 간소화된 인터페이스를 제공합니다.

주 구성원에 Monitoring, Cloud Logging, Cloud Trace에 대한 액세스 권한을 부여하거나 프로젝트 수준 역할을 부여하려면 다음을 수행합니다.

Console

Google Cloud 콘솔에서 권한 페이지로 이동합니다.
권한으로 이동

검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Monitoring인 결과를 선택합니다.

권한 페이지에는 모든 주 구성원이 표시되지는 않습니다. 프로젝트 수준 역할 또는 Monitoring, Logging, Trace와 관련된 역할만 있는 주 구성원만 나열됩니다.

이 페이지의 옵션을 통해 역할에 Monitoring 권한이 포함된 모든 주 구성원을 볼 수 있습니다.
액세스 권한 부여를 클릭합니다.
새 주 구성원을 클릭하고 주 구성원의 사용자 이름을 입력합니다. 여러 주 구성원을 추가할 수 있습니다.

확장 역할 선택 에서 제품 또는 서비스별 메뉴에서 역할을 선택하고역할 메뉴를 사용합니다.

제품 또는 서비스별 선택	역할 선택	설명
모니터링	모니터링 뷰어	Monitoring 데이터 및 구성 정보를 봅니다. 예를 들어 이 역할이 있는 주 구성원은 커스텀 대시보드 및 알림 정책을 볼 수 있습니다.
모니터링	모니터링 편집자	Monitoring 데이터를 확인하고 구성을 만들고 수정합니다. 예를 들어 이 역할을 가진 주 구성원은 커스텀 대시보드 및 알림 정책을 만들 수 있습니다.
모니터링	모니터링 관리자	Monitoring 데이터를 보고, 구성을 만들고 수정하고, 측정항목 범위를 수정합니다.
Cloud Trace	Cloud Trace 사용자	Trace 콘솔에 대한 전체 액세스 권한, 추적에 대한 읽기 액세스 권한, 싱크에 대한 읽기-쓰기 액세스 권한입니다. 자세한 내용은 Trace 역할을 참조하세요.
Cloud Trace	Cloud Trace 관리자	Trace 콘솔에 대한 전체 액세스 권한, 추적에 대한 읽기 액세스 권한, 싱크에 대한 읽기-쓰기 액세스 권한입니다. 자세한 내용은 Trace 역할을 참조하세요.
로깅	로그 뷰어	로그에 대한 보기 액세스 권한입니다. 자세한 내용은 Logging 역할을 참조하세요.
로깅	로깅 관리자	Cloud Logging의 모든 기능에 대한 전체 액세스 권한입니다. 자세한 내용은 Logging 역할을 참조하세요.
프로젝트	뷰어	대부분의 Google Cloud 리소스에 대한 보기 액세스 권한입니다.
프로젝트	편집자	대부분의 Google Cloud 리소스를 확인, 생성, 업데이트, 삭제합니다.
프로젝트	소유자	대부분의 Google Cloud 리소스에 대한 전체 액세스 권한입니다.

선택사항: 동일한 주 구성원에게 다른 역할을 부여하려면 다른 역할 추가를 클릭하고 이전 단계를 반복합니다.
저장을 클릭합니다.

이전 단계에서는 Google Cloud 콘솔에서 Monitoring 페이지를 사용하여 주 구성원 특정 역할을 부여하는 방법을 설명합니다. 이러한 역할에 대해 이 페이지에서는 수정 및 삭제 옵션도 지원합니다.

주 구성원의 역할을 삭제하려면 주 구성원 옆에 있는 상자를 선택한 후 액세스 삭제를 클릭합니다.
주 구성원의 역할을 수정하려면 수정을 클릭합니다. 설정을 업데이트한 후 저장을 클릭합니다.

gcloud

gcloud projects add-iam-policy-binding 명령어를 사용하여 monitoring.viewer 또는 monitoring.editor 역할을 부여합니다.

예를 들면 다음과 같습니다.

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

gcloud projects get-iam-policy 명령어를 사용하여 부여된 역할을 확인할 수 있습니다.

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

사전 정의된 역할

이 섹션에는 Cloud Monitoring에서 사전 정의된 IAM 역할의 하위 집합이 나와 있습니다.

Monitoring 역할

다음 역할은 일반적인 Monitoring 권한을 부여합니다.

이름 직함	포함된 권한
`roles/monitoring.viewer` 모니터링 뷰어	Google Cloud 콘솔의 Monitoring 및 Cloud Monitoring API에 대한 읽기 전용 액세스 권한을 부여합니다.
`roles/monitoring.editor` 모니터링 편집자	Google Cloud 콘솔의 Monitoring 및 Cloud Monitoring API에 대한 읽기/쓰기 액세스 권한을 부여합니다.
`roles/monitoring.admin` 모니터링 관리자	Google Cloud 콘솔의 Monitoring에 대한 전체 액세스 권한 및 Cloud Monitoring API에 대한 읽기-쓰기 액세스 권한을 부여합니다.

쓰기 전용 액세스를 위해 서비스 계정에서 사용되는 역할은 다음과 같습니다.

이름 직함	설명
`roles/monitoring.metricWriter` 모니터링 측정항목 작성자	이 역할은 서비스 계정 및 에이전트용입니다. Google Cloud 콘솔에서 Monitoring에 대한 액세스를 허용하지 않습니다. 측정항목 범위에 모니터링 데이터를 쓸 수 있습니다.

알림 정책 역할

다음 역할은 알림 정책 관련 권한을 부여합니다.

이름 직함	설명
`roles/monitoring.alertPolicyViewer` 모니터링 알림 정책 뷰어	알림 정책에 대한 읽기 전용 액세스 권한을 부여합니다.
`roles/monitoring.alertPolicyEditor` 모니터링 알림 정책 편집자	알림 정책에 대한 읽기/쓰기 액세스 권한을 부여합니다.

대시보드 역할

다음 역할은 대시보드에만 권한을 부여합니다.

이름 직함	설명
`roles/monitoring.dashboardViewer` 모니터링 대시보드 구성 뷰어	대시보드 구성에 대한 읽기 전용 액세스 권한을 부여합니다.
`roles/monitoring.dashboardEditor` 모니터링 대시보드 구성 편집자	대시보드 구성에 대한 읽기/쓰기 액세스 권한을 부여합니다.

이슈 역할

다음 역할은 이슈에 대한 권한만 부여합니다.

이름 직함	설명
`roles/monitoring.cloudConsoleIncidentViewer` Cloud 콘솔 이슈 모니터링 뷰어	Google Cloud 콘솔을 사용하여 이슈를 볼 수 있는 액세스 권한을 부여합니다.
`roles/monitoring.cloudConsoleIncidentEditor` Cloud 콘솔 이슈 모니터링 편집자	Google Cloud 콘솔을 사용하여 이슈를 보고 확인하고 종료할 수 있는 액세스 권한을 부여합니다.

이슈를 볼 때 발생하는 IAM 권한 오류를 해결하는 방법에 대한 자세한 내용은 권한 오류로 인해 이슈 세부정보를 볼 수 없음을 참조하세요.

알림 채널 역할

다음 역할은 알림 채널 관련 권한만 부여합니다.

이름 직함	설명
`roles/monitoring.notificationChannelViewer` 모니터링 알림 채널 뷰어	알림 채널에 대한 읽기 전용 액세스 권한을 부여합니다.
`roles/monitoring.notificationChannelEditor` 모니터링 알림 채널 편집자	알림 채널에 대한 읽기/쓰기 액세스 권한을 부여합니다.

알림 역할 일시중지

다음 역할은 알림 일시중지 권한을 부여합니다.

이름 직함	설명
`roles/monitoring.snoozeViewer` Monitoring 일시중지 뷰어	일시중지에 대한 읽기 전용 액세스 권한을 부여합니다.
`roles/monitoring.snoozeEditor` Monitoring 일시중지 편집자	일시중지에 대한 읽기/쓰기 액세스 권한을 부여합니다.

서비스 모니터링 역할

다음 역할은 서비스 관리를 위한 권한을 부여합니다.

이름 직함	설명
`roles/monitoring.servicesViewer` 모니터링 서비스 뷰어	서비스에 대한 읽기 전용 액세스 권한을 부여합니다.
`roles/monitoring.servicesEditor` 모니터링 서비스 편집자	서비스에 대한 읽기/쓰기 액세스 권한을 부여합니다.

서비스 모니터링에 대한 자세한 내용은 SLO 모니터링을 참조하세요.

업타임 체크 구성 역할

다음 역할은 업타임 체크 구성 관련 권한만 부여합니다.

이름 직함	설명
`roles/monitoring.uptimeCheckConfigViewer` 모니터링 업타임 체크 구성 뷰어	업타임 체크 구성에 대한 읽기 전용 액세스 권한을 부여합니다.
`roles/monitoring.uptimeCheckConfigEditor` 모니터링 업타임 체크 구성 편집기	업타임 체크 구성에 대한 읽기/쓰기 액세스 권한을 부여합니다.

측정항목 범위 구성 역할

다음 역할은 측정항목 범위에 대한 일반적인 권한을 부여합니다.

이름 직함	설명
`roles/monitoring.metricsScopesViewer` 모니터링 측정항목 범위 뷰어	측정항목 범위에 대한 읽기 전용 액세스 권한을 부여합니다.
`roles/monitoring.metricsScopesAdmin` 모니터링 측정항목 범위 관리자	측정항목 범위에 대한 읽기/쓰기 액세스 권한을 부여합니다.

사전 정의된 역할 권한

이 섹션에는 Monitoring과 연결된 사전 정의된 역할에 할당된 권한이 나와 있습니다.

사전 정의된 역할에 대한 자세한 내용은 IAM: 역할 및 권한을 참조하세요. 가장 적절한 사전 정의된 역할을 선택하는 데 도움이 필요하면 사전 정의된 역할 선택을 참조하세요.

Monitoring 역할 권한

Role Permissions

Role	Permissions
Monitoring Admin (`roles/monitoring.admin`) Provides full access to Cloud Monitoring. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.update` `monitoring.dashboards.create` `monitoring.dashboards.delete` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.update` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.metricsScopes.link` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.getVerificationCode` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.*` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring AlertPolicy Editor (`roles/monitoring.alertPolicyEditor`) Read/write access to alerting policies.	`monitoring.alertPolicies.*` `monitoring.alertPolicies.create` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.update`
Monitoring AlertPolicy Viewer (`roles/monitoring.alertPolicyViewer`) Read-only access to alerting policies.	`monitoring.alertPolicies.get` `monitoring.alertPolicies.list`
Monitoring Cloud Console Incident Editor ^Beta (`roles/monitoring.cloudConsoleIncidentEditor`) Read/write access to incidents from Cloud Console.
Monitoring Cloud Console Incident Viewer ^Beta (`roles/monitoring.cloudConsoleIncidentViewer`) Read access to incidents from Cloud Console.
Monitoring Dashboard Configuration Editor (`roles/monitoring.dashboardEditor`) Read/write access to dashboard configurations.	`monitoring.dashboards.*` `monitoring.dashboards.create` `monitoring.dashboards.delete` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.update`
Monitoring Dashboard Configuration Viewer (`roles/monitoring.dashboardViewer`) Read-only access to dashboard configurations.	`monitoring.dashboards.get` `monitoring.dashboards.list`
Monitoring Editor (`roles/monitoring.editor`) Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.update` `monitoring.dashboards.` `monitoring.dashboards.create` `monitoring.dashboards.delete` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.update` `monitoring.groups.` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.*` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring Metric Writer (`roles/monitoring.metricWriter`) Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role: Project	`monitoring.metricDescriptors.create` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.*` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.timeSeries.create`
Monitoring Metrics Scopes Admin ^Beta (`roles/monitoring.metricsScopesAdmin`) Access to add and remove monitored projects from metrics scopes.	`monitoring.metricsScopes.link` `resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring Metrics Scopes Viewer ^Beta (`roles/monitoring.metricsScopesViewer`) Read-only access to metrics scopes and their monitored projects.	`resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring NotificationChannel Editor ^Beta (`roles/monitoring.notificationChannelEditor`) Read/write access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify`
Monitoring NotificationChannel Viewer ^Beta (`roles/monitoring.notificationChannelViewer`) Read-only access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list`
Monitoring Services Editor (`roles/monitoring.servicesEditor`) Read/write access to services.	`monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update`
Monitoring Services Viewer (`roles/monitoring.servicesViewer`) Read-only access to services.	`monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list`
Monitoring Snooze Editor (`roles/monitoring.snoozeEditor`)	`monitoring.snoozes.*` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update`
Monitoring Snooze Viewer (`roles/monitoring.snoozeViewer`)	`monitoring.snoozes.get` `monitoring.snoozes.list`
Monitoring Uptime Check Configuration Editor ^Beta (`roles/monitoring.uptimeCheckConfigEditor`) Read/write access to uptime check configurations.	`monitoring.uptimeCheckConfigs.*` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update`
Monitoring Uptime Check Configuration Viewer ^Beta (`roles/monitoring.uptimeCheckConfigViewer`) Read-only access to uptime check configurations.	`monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list`
Monitoring Viewer (`roles/monitoring.viewer`) Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.groups.get` `monitoring.groups.list` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `opsconfigmonitoring.resourceMetadata.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get` `stackdriver.resourceMetadata.list`

Monitoring Admin

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.*

monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update
monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update
monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update
monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.metricsScopes.link
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.getVerificationCode
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update
monitoring.timeSeries.create
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring AlertPolicy Editor

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update

Monitoring AlertPolicy Viewer

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

Monitoring Cloud Console Incident Editor ^Beta

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

Monitoring Cloud Console Incident Viewer ^Beta

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

Monitoring Dashboard Configuration Editor

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update

Monitoring Dashboard Configuration Viewer

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

Monitoring Editor

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update

monitoring.groups.*

monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update

monitoring.metricDescriptors.*

monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

monitoring.timeSeries.*

monitoring.timeSeries.create
monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring Metric Writer

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

Monitoring Metrics Scopes Admin ^Beta

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring Metrics Scopes Viewer ^Beta

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring NotificationChannel Editor ^Beta

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

Monitoring NotificationChannel Viewer ^Beta

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

Monitoring Services Editor

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

Monitoring Services Viewer

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

Monitoring Snooze Editor

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

Monitoring Snooze Viewer

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

Monitoring Uptime Check Configuration Editor ^Beta

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

Monitoring Uptime Check Configuration Viewer ^Beta

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

Monitoring Viewer

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

작업 구성 모니터링 역할 권한

Role Permissions

Role	Permissions
Ops Config Monitoring Resource Metadata Viewer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.viewer`) Read-only access to resource metadata.	`opsconfigmonitoring.resourceMetadata.list`
Ops Config Monitoring Resource Metadata Writer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.	`opsconfigmonitoring.resourceMetadata.write`

Ops Config Monitoring Resource Metadata Viewer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

Ops Config Monitoring Resource Metadata Writer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Stackdriver 역할 권한

Role Permissions

Role	Permissions
Stackdriver Accounts Editor (`roles/stackdriver.accounts.editor`) Read/write access to manage Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.projects.*` `stackdriver.projects.edit` `stackdriver.projects.get`
Stackdriver Accounts Viewer (`roles/stackdriver.accounts.viewer`) Read-only access to get and list information about Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get`
Stackdriver Resource Metadata Writer ^Beta (`roles/stackdriver.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.	`stackdriver.resourceMetadata.write`

Stackdriver Accounts Editor

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

stackdriver.projects.edit
stackdriver.projects.get

Stackdriver Accounts Viewer

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

Stackdriver Resource Metadata Writer ^Beta

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Google Cloud 역할에 포함된 Monitoring 권한

Google Cloud 역할에 포함된 권한은 다음과 같습니다.

이름
직함 포함된 권한

roles/viewer
뷰어 Monitoring 권한은 roles/monitoring.viewer의 권한과 동일합니다.

이름 직함	포함된 권한
`roles/viewer` 뷰어	Monitoring 권한은 `roles/monitoring.viewer`의 권한과 동일합니다.
`roles/editor` 편집자	Monitoring 권한은 `stackdriver.projects.edit` 권한을 제외하고 `roles/monitoring.editor`의 권한과 동일합니다. `roles/editor` 역할에는 `stackdriver.projects.edit` 권한이 없습니다. 이 역할은 측정항목 범위를 수정할 수 있는 권한을 부여하지 않습니다. API를 사용할 때 측정항목 범위를 수정하려면 역할에 `monitoring.metricsScopes.link` 권한이 포함되어야 합니다. Google Cloud Console을 사용할 때 측정항목 범위를 수정하려면 역할에 `monitoring.metricsScopes.link` 권한이 포함되거나 `roles/monitoring.editor` 역할이 있어야 합니다.
`roles/owner` 소유자	Monitoring 권한은 `roles/monitoring.admin`의 권한과 동일합니다.

roles/editor
편집자

Monitoring 권한은 stackdriver.projects.edit 권한을 제외하고 roles/monitoring.editor의 권한과 동일합니다. roles/editor 역할에는 stackdriver.projects.edit 권한이 없습니다.

이 역할은 측정항목 범위를 수정할 수 있는 권한을 부여하지 않습니다. API를 사용할 때 측정항목 범위를 수정하려면 역할에 monitoring.metricsScopes.link 권한이 포함되어야 합니다. Google Cloud Console을 사용할 때 측정항목 범위를 수정하려면 역할에 monitoring.metricsScopes.link 권한이 포함되거나 roles/monitoring.editor 역할이 있어야 합니다.

roles/owner
소유자 Monitoring 권한은 roles/monitoring.admin의 권한과 동일합니다.

커스텀 역할

사전 정의된 역할로 부여되는 권한보다 더 제한된 권한 집합을 주 구성원에 부여하려는 경우 커스텀 역할을 만들 수 있습니다. 예를 들어 데이터 상주 또는 영향 수준 4(IL4) 요구사항이 있기 때문에 Assured Workloads를 설정한 경우, 업타임 체크 데이터가 특정 지리적 위치에 보관된다는 보장이 없으므로 업타임 체크를 사용해서는 안 됩니다. 업타임 체크 사용을 방지하려면 monitoring.uptimeCheckConfigs 프리픽스가 있는 권한을 포함하지 않는 역할을 만드세요.

Monitoring 권한이 있는 커스텀 역할을 만드는 방법은 다음과 같습니다.

Monitoring API 관련 권한만 부여하는 역할이라면 권한 및 사전 정의된 역할 섹션의 권한에서 선택합니다.
Google Cloud 콘솔에서 Monitoring에 대한 권한을 부여하는 역할은 Monitoring 역할 섹션의 권한 그룹에서 선택합니다.
모니터링 데이터를 쓸 수 있는 권한을 부여하려면 권한 및 사전 정의된 역할 섹션에서 roles/monitoring.metricWriter 역할의 권한을 포함합니다.

커스텀 역할에 대한 자세한 내용은 IAM 커스텀 역할 이해를 참조하세요.

Compute Engine 액세스 범위

액세스 범위는 Compute Engine VM 인스턴스의 권한을 지정하는 기존의 방법입니다. Monitoring에 적용되는 액세스 범위는 다음과 같습니다.

액세스 범위	부여된 권한
https://www.googleapis.com/auth/monitoring.read	`roles/monitoring.viewer`와 동일한 권한
https://www.googleapis.com/auth/monitoring.write	`roles/monitoring.metricWriter`와 동일한 권한
https://www.googleapis.com/auth/monitoring	Monitoring에 대한 전체 액세스 권한
https://www.googleapis.com/auth/cloud-platform	사용 설정된 모든 Cloud API에 대한 전체 액세스 권한

자세한 내용은 액세스 범위를 참조하세요.

권장사항 VM 인스턴스에 가장 강력한 액세스 범위(cloud-platform)를 제공한 후 IAM 역할을 사용하여 특정 API 및 작업에 대한 액세스 권한을 제한하는 것이 좋습니다. 자세한 내용은 서비스 계정 권한을 참조하세요.

IAM으로 액세스 제어

권장사항

VPC 서비스 제어

Cloud Monitoring에 액세스 부여

Console

gcloud

사전 정의된 역할

Monitoring 역할

알림 정책 역할

대시보드 역할

이슈 역할

알림 채널 역할

알림 역할 일시중지

서비스 모니터링 역할

업타임 체크 구성 역할

측정항목 범위 구성 역할

사전 정의된 역할 권한

Monitoring 역할 권한

Monitoring Admin

Monitoring AlertPolicy Editor

Monitoring AlertPolicy Viewer

Monitoring Cloud Console Incident Editor Beta

Monitoring Cloud Console Incident Viewer Beta

Monitoring Dashboard Configuration Editor

Monitoring Dashboard Configuration Viewer

Monitoring Editor

Monitoring Metric Writer

Monitoring Metrics Scopes Admin Beta

Monitoring Metrics Scopes Viewer Beta

Monitoring NotificationChannel Editor Beta

Monitoring NotificationChannel Viewer Beta

Monitoring Services Editor

Monitoring Services Viewer

Monitoring Snooze Editor

Monitoring Snooze Viewer

Monitoring Uptime Check Configuration Editor Beta

Monitoring Uptime Check Configuration Viewer Beta

Monitoring Viewer

작업 구성 모니터링 역할 권한

Ops Config Monitoring Resource Metadata Viewer Beta

Ops Config Monitoring Resource Metadata Writer Beta

Stackdriver 역할 권한

Stackdriver Accounts Editor

Stackdriver Accounts Viewer

Stackdriver Resource Metadata Writer Beta

Google Cloud 역할에 포함된 Monitoring 권한

커스텀 역할

Compute Engine 액세스 범위

Monitoring Cloud Console Incident Editor ^Beta

Monitoring Cloud Console Incident Viewer ^Beta

Monitoring Metrics Scopes Admin ^Beta

Monitoring Metrics Scopes Viewer ^Beta

Monitoring NotificationChannel Editor ^Beta

Monitoring NotificationChannel Viewer ^Beta

Monitoring Uptime Check Configuration Editor ^Beta

Monitoring Uptime Check Configuration Viewer ^Beta

Ops Config Monitoring Resource Metadata Viewer ^Beta

Ops Config Monitoring Resource Metadata Writer ^Beta

Stackdriver Resource Metadata Writer ^Beta