Controlar o acesso com o IAM

Neste documento, descrevemos os papéis e permissões do Identity and Access Management (IAM, na sigla em inglês) usados pelo Cloud Monitoring. Ele é destinado a administradores que configuram e concedem papéis e permissões.

Prática recomendada

Recomendamos que você crie grupos do Google para gerenciar o acesso aos projetos do Google Cloud:

VPC Service Controls

Para ter mais acesso de controle aos dados de monitoramento, use o VPC Service Controls, além do IAM.

O VPC Service Controls oferece segurança adicional para o Cloud Monitoring, o que ajuda a reduzir o risco de filtração externa de dados. Com o VPC Service Controls, é possível adicionar um escopo de métricas a um perímetro de serviço que protege os recursos e serviços do Cloud Monitoring contra solicitações originadas de fora do perímetro.

Saiba mais sobre perímetros de serviço na documentação de configuração dos perímetros de serviço do VPC Service Controls.

Para informações sobre o suporte do Monitoring para o VPC Service Controls, incluindo limitações conhecidas, consulte a documentação do VPC Service Controls do Monitoring.

Conceder acesso ao Cloud Monitoring

Para gerenciar papéis do IAM para principais, use a página "Identity and Access Management" no Console do Google Cloud. No entanto, o Cloud Monitoring fornece uma interface simplificada que permite gerenciar os papéis específicos do Monitoring, papéis para envolvidos no projeto e os papéis comuns do Cloud Logging e do Cloud Trace.

Para conceder aos participantes acesso ao Monitoring, Cloud Logging ou Cloud Trace ou conceder um papel para envolvidos no projeto, faça o seguinte:

  1. No Console do Google Cloud, selecione Monitoring ou clique no botão a seguir:
    Acessar Monitoring
  2. No painel de navegação, selecione Permissões.

    A página Permissões não exibe todos os principais. Ele lista somente os principais que têm um papel no nível do projeto ou um papel específico do Monitoring, do Logging ou do Trace.

    As opções nesta página permitem visualizar todos os principais com papéis que incluem qualquer permissão do Monitoring.

  3. Clique em CONCEDER ACESSO.

  4. Clique em Novas principais e digite o nome de usuário da principal. É possível adicionar vários principais.

  5. Expanda Selecionar um papel, selecione um valor no menu Por produto ou serviço e selecione um papel no menu Papéis:

    Seleção Por produto ou serviço Seleção de Papéis Descrição
    Monitoramento Leitor do Monitoring Visualizar dados de monitoramento e informações de configuração. Por exemplo, os participantes com esse papel podem ver painéis personalizados e políticas de alertas.
    Monitoramento Editor do Monitoring Ver dados do Monitoring, além de criar e editar configurações. Por exemplo, os participantes com esse papel podem criar painéis personalizados e políticas de alertas.
    Monitoramento Administrador do Monitoring Veja dados do Monitoring, crie e edite configurações e modifique o escopo de métricas.
    Cloud Trace Usuário do Cloud Trace Acesso total ao console do Trace, acesso de leitura a traces e acesso de leitura e gravação a coletores. Para mais informações, consulte Papéis do Trace.
    Cloud Trace Administrador do Cloud Trace Acesso total ao console do Trace, acesso de leitura e gravação aos traces e acesso de leitura e gravação aos coletores. Para mais informações, consulte Papéis do Trace.
    Geração de registros Visualizador de registros Acesso de visualização aos registros. Para mais informações, consulte Papéis do Logging.
    Geração de registros Administrador do Logging Acesso total a todos os recursos do Cloud Logging. Para mais informações, consulte Papéis do Logging.
    Projeto Visualizador Acesso de visualização à maioria dos recursos do Google Cloud.
    Projeto Editor Visualize, crie, atualize e exclua a maioria dos recursos do Google Cloud.
    Projeto Proprietário Acesso total à maioria dos recursos do Google Cloud.
  6. Opcional: para conceder outro papel aos mesmos principais, clique em Adicionar outro papel e repita a etapa anterior.

  7. Clique em Save.

Nas etapas anteriores, descrevemos como conceder determinados papéis a um principal usando as páginas do Monitoring no Console do Google Cloud. Para esses papéis, esta página também é compatível com as opções de edição e exclusão:

  • Para remover papéis de um principal, selecione a caixa ao lado do principal e clique em Remover acesso.

  • Para editar os papéis de um principal, clique em Editar. Depois de atualizar as configurações, clique em Salvar.

Visão geral do IAM do Monitoring

Para usar o Monitoring, é preciso ter as permissões apropriadas do IAM.

Em geral, cada método REST em uma API tem uma permissão associada, e você precisa ter permissão para usar o método correspondente. As permissões não são concedidas diretamente aos usuários. Em vez disso, elas são concedidas indiretamente por meio de papéis, que agrupam várias permissões para facilitar o gerenciamento delas. Para mais informações sobre esses conceitos, consulte Conceitos relacionados ao gerenciamento de acesso.

Os papéis que fornecem combinações comuns de permissões já estão predefinidos para você. No entanto, também é possível criar suas próprias combinações de permissões gerando papéis personalizados do IAM.

Papéis predefinidos

Os papéis do IAM a seguir são predefinidos pelo Cloud Monitoring. Eles concedem permissões apenas para o Monitoring.

Monitoramento

Os papéis a seguir concedem permissões gerais para o Monitoring:

Nome
Cargo
Inclui as permissões
roles/monitoring.viewer
Leitor do Monitoring
Concede acesso somente leitura ao Monitoring no console e na API do Google Cloud.
roles/monitoring.editor
Editor do Monitoring
Concede acesso de leitura e gravação ao Monitoring no Console do Google Cloud e na API
e concede acesso de leitura e gravação a um escopo de métricas ao usar o console do Google Cloud. O acesso de gravação a um escopo de métricas concede permissão para adicionar (ou remover) projetos monitorados do Google Cloud a esse escopo de métricas.
roles/monitoring.admin
Administrador do Monitoring
Concede acesso total ao Monitoring no Console do Google Cloud e na API,
e concede acesso de leitura e gravação a um escopo de métricas. O acesso de gravação a um escopo de métricas concede permissão para adicionar (ou remover) projetos monitorados do Google Cloud a esse escopo de métricas.

O papel a seguir é usado pelas contas de serviço para acesso somente de gravação:

Nome
Cargo
Descrição
roles/monitoring.metricWriter
Gravador de métricas do Monitoring
Permite gravar dados de monitoramento em um escopo de métricas,
não permite acesso ao Monitoring no Console do Google Cloud.
Esse papel é destinado a contas de serviço e agentes.

Políticas de alertas

Os papéis a seguir concedem permissões para políticas de alertas:

Nome
Cargo
Descrição
roles/monitoring.alertPolicyViewer
Visualizador de AlertPolicy do Monitoring
Concede acesso somente leitura a políticas de alertas.
roles/monitoring.alertPolicyEditor
Editor de AlertPolicy do Monitoring
Concede acesso de leitura e gravação a políticas de alertas.

Painéis

Os papéis a seguir concedem permissões somente para painéis:

Nome
Cargo
Descrição
roles/monitoring.dashboardViewer
Visualizador de configuração de painel do Monitoring
Concede acesso somente leitura às configurações do painel.
roles/monitoring.dashboardEditor
Editor de configuração de painel do Monitoring
Concede acesso de leitura e gravação às configurações do painel.

Incidentes

Os seguintes papéis concedem permissões gerais para ver incidentes:

Nome
Cargo
Descrição
roles/monitoring.viewer
Visualizador do Monitoring
Concede acesso para ver incidentes.
roles/monitoring.editor
Editor do Monitoring
Concede acesso para ver, reconhecer e fechar incidentes.
roles/monitoring.admin
Administrador do Monitoring
Concede acesso para ver, reconhecer e fechar incidentes.

Para ver os detalhes de um incidente, é preciso ter, no mínimo, o papel de gerenciamento de identidade e acesso de roles/monitoring.viewer. Para saber mais, consulte Não foi possível ver detalhes do incidente devido a um erro de permissão.

Canais de notificação

Os papéis a seguir concedem permissões apenas para canais de notificação:

Nome
Cargo
Descrição
roles/monitoring.notificationChannelViewer
Visualizador de NotificationChannel do Monitoring
Concede acesso somente leitura a canais de notificação.
roles/monitoring.notificationChannelEditor
Editor de NotificationChannel do Monitoring
Concede acesso de leitura e gravação a canais de notificação.

Suspender notificações

Os papéis a seguir concedem permissões para suspender notificações:

Nome
Cargo
Descrição
roles/monitoring.snoozeViewer
Como monitorar o visualizador de soneca
Concede acesso somente leitura a sonecas.
roles/monitoring.snoozeEditor
Como monitorar o editor de adiamento
Concede acesso de leitura e gravação a sonecas.

Monitoramento do serviço

Os papéis a seguir concedem permissões para o gerenciamento de serviços:

Nome
Cargo
Descrição
roles/monitoring.servicesViewer
Visualizador dos serviços do Monitoring
Concede acesso somente leitura a serviços.
roles/monitoring.servicesEditor
Editor dos serviços do Monitoring
Concede acesso de leitura e gravação aos serviços.

Para mais informações sobre o monitoramento de serviços, consulte Monitoramento de SLO.

Configurações da verificação de tempo de atividade

Os papéis a seguir concedem permissões somente para configurações da verificação de tempo de atividade:

Nome
Cargo
Descrição
roles/monitoring.uptimeCheckConfigViewer
Visualizador de configurações de verificação de tempo de atividade do Monitoring
Concede acesso somente leitura a configurações de verificação de tempo de atividade.
roles/monitoring.uptimeCheckConfigEditor
Editor de configurações de verificação de tempo de atividade do Monitoring
Concede acesso de leitura e gravação a configurações de verificação de tempo de atividade.

Configurações do escopo de métricas

Os papéis a seguir concedem permissões gerais para escopos de métricas:

Nome
Cargo
Descrição
roles/monitoring.metricsScopesViewer
Leitor de escopos de métricas de monitoramento
Concede acesso somente leitura a escopos de métricas.
roles/monitoring.metricsScopesAdmin
Administrador de escopos de métricas do Monitoring
Concede acesso de leitura e gravação a escopos de métricas.

Google Cloud

Os papéis a seguir concedem permissões para muitos serviços e recursos no Google Cloud, incluindo o Monitoring:

Nome
Cargo
Inclui as permissões
roles/viewer
Leitor
As permissões do Monitoring são exatamente as permissões em roles/monitoring.viewer.
roles/editor
Editor

As permissões do Monitoring são iguais às de roles/monitoring.editor, com exceção da permissão stackdriver.projects.edit. O papel roles/editor não inclui a permissão stackdriver.projects.edit.

Este papel não concede permissão para modificar um escopo de métricas. Para modificar um escopo de métricas ao usar a API, o papel precisa incluir a permissão monitoring.metricsScopes.link. Para modificar um escopo de métricas ao usar o console do Google Cloud, seu papel precisa incluir a permissão monitoring.metricsScopes.link ou você precisa ter o papel roles/monitoring.editor.

roles/owner
Proprietário
As permissões do Monitoring são iguais às de roles/monitoring.admin.

Papéis personalizados

É possível também criar seus próprios papéis personalizados que contenham listas de permissões. Para mais detalhes sobre papéis e permissões, consulte Permissões e papéis e Papéis personalizados nesta página.

Permissões e papéis

Nesta seção, listamos as permissões e papéis do IAM que se aplicam ao Monitoring.

Permissões da API

Cada método da API Monitoring requer uma permissão específica do IAM, conforme listado na tabela a seguir.

Método da API Monitoring Permissão Resource type
projects.alertPolicies.create monitoring.alertPolicies.create projeto
projects.alertPolicies.delete monitoring.alertPolicies.delete AlertPolicy
projects.alertPolicies.get monitoring.alertPolicies.get AlertPolicy
projects.alertPolicies.list monitoring.alertPolicies.list projeto
projects.alertPolicies.patch monitoring.alertPolicies.update AlertPolicy
projects.dashboards.create monitoring.dashboards.create projeto
projects.dashboards.delete monitoring.dashboards.delete projeto
projects.dashboards.get monitoring.dashboards.get projeto
projects.dashboards.list monitoring.dashboards.list projeto
projects.dashboards.patch monitoring.dashboards.update projeto
projects.groups.create monitoring.groups.create projeto
projects.groups.delete monitoring.groups.delete Group
projects.groups.get monitoring.groups.get Group
projects.groups.list monitoring.groups.list projeto
projects.groups.update monitoring.groups.update Group
projects.groups.members.list monitoring.groups.get Group
projects.metricDescriptors.create monitoring.metricDescriptors.create projeto
projects.metricDescriptors.delete monitoring.metricDescriptors.delete MetricDescriptor
projects.metricDescriptors.get monitoring.metricDescriptors.get MetricDescriptor
projects.metricDescriptors.list monitoring.metricDescriptors.list projeto
projects.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.get MonitoredResourceDescriptor
projects.monitoredResourceDescriptors.list monitoring.monitoredResourceDescriptors.list projeto
projects.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.get NotificationChannelDescriptor
projects.notificationChannelDescriptors.list monitoring.notificationChannelDescriptors.list projeto
projects.notificationChannels.create monitoring.notificationChannels.create projeto
projects.notificationChannels.delete monitoring.notificationChannels.delete NotificationChannel
projects.notificationChannels.get monitoring.notificationChannels.get NotificationChannel
projects.notificationChannels.getVerificationCode monitoring.notificationChannels.getVerificationCode NotificationChannel
projects.notificationChannels.list monitoring.notificationChannels.list projeto
projects.notificationChannels.patch monitoring.notificationChannels.update NotificationChannel
projects.notificationChannels.sendVerificationCode monitoring.notificationChannels.sendVerificationCode NotificationChannel
projects.notificationChannels.verify monitoring.notificationChannels.verify NotificationChannel
projects.services.create monitoring.services.create projeto
projects.services.delete monitoring.services.delete Service
projects.services.get monitoring.services.get Service
projects.services.list monitoring.services.list projeto
projects.services.patch monitoring.services.update Service
projects.services.serviceLevelObjectives.create monitoring.slos.create projeto
projects.services.serviceLevelObjectives.delete monitoring.slos.delete ServiceLevelObjective
projects.services.serviceLevelObjectives.get monitoring.slos.get ServiceLevelObjective
projects.services.serviceLevelObjectives.list monitoring.slos.list projeto
projects.services.serviceLevelObjectives.patch monitoring.slos.update ServiceLevelObjective
projects.timeSeries.create monitoring.timeSeries.create projeto
projects.timeSeries.list monitoring.timeSeries.list projeto, pasta, organização
projects.timeSeries.query monitoring.timeSeries.list projeto
projects.uptimeCheckConfigs.create monitoring.uptimeCheckConfigs.create UptimeCheckConfig
projects.uptimeCheckConfigs.delete monitoring.uptimeCheckConfigs.delete UptimeCheckConfig
projects.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.get UptimeCheckConfig
projects.uptimeCheckConfigs.list monitoring.uptimeCheckConfigs.list UptimeCheckConfig
projects.uptimeCheckConfigs.patch monitoring.uptimeCheckConfigs.update UptimeCheckConfig
locations.global.metricsScopes.get resourcemanager.projects.get projeto
locations.global.metricsScopes/listMetricScopesByMonitoredProject resourcemanager.projects.get projeto
locations.global.metricsScopes.projects.create monitoring.metricsScopes.link projeto
locations.global.metricsScopes.projects.delete monitoring.metricsScopes.link projeto

Permissões do console para o Monitoring

Cada recurso do Monitoring no Console do Google Cloud exige que você tenha permissão para a API usada para implementar o recurso. Por exemplo, a capacidade de procurar grupos exige que você tenha permissão para os métodos list e get aplicáveis aos grupos e aos membros deles. Você pode perder a funcionalidade se as permissões necessárias forem revogadas.

A tabela a seguir lista as permissões necessárias para usar o Monitoring no Console do Google Cloud:

Atividade Permissões necessárias Por tipo de recurso
Acesso para ler O conjunto de permissões incluídas no papel roles/monitoring.viewer project.
Console de acesso de leitura e gravação O conjunto de permissões incluídas no papel roles/monitoring.editor project.
Acesso total ao console O conjunto de permissões incluídas no papel roles/monitoring.admin project.

Papéis

Na tabela a seguir, listamos os papéis do IAM que concedem acesso ao Monitoring e as permissões associadas a cada papel. Vários desses papéis são gradativos: por exemplo, roles/monitoring.editor inclui todas as permissões de roles/monitoring.viewer e mais um conjunto de permissões.

É possível atribuir os papéis apenas para envolvidos no projeto.

Monitoramento

Os papéis do Monitoring incluem estas permissões:

Nome
Cargo
Inclui as permissões
roles/monitoring.viewer
Leitor do Monitoring
cloudnotifications.activities.list
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.groups.get
monitoring.groups.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
opsconfigmonitoring.resourceMetadata.list
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get stackdriver.resourceMetadata.list
roles/monitoring.editor
Editor do Monitoring
cloudnotifications.activities.list
monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update
monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.update
monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update
monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.publicWidgets.create
monitoring.publicWidgets.delete
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.publicWidgets.update
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update
monitoring.timeSeries.create
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update
opsconfigmonitoring.resourceMetadata.write
opsconfigmonitoring.resourceSnapshot.create
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.enable
stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.write
roles/monitoring.admin
Administrador do Monitoring
As permissões em roles/monitoring.editor, além do seguinte:
monitoring.notificationChannels.getVerificationCode
monitoring.metricsScopes.link

O papel a seguir é usado pelas contas de serviço para acesso somente de gravação:

Nome
Cargo
Inclui as permissões
roles/monitoring.metricWriter
Gravador de métricas do Monitoring
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.timeSeries.create

Políticas de alertas

Os papéis de política de alertas incluem estas permissões:

Nome
Cargo
Inclui as permissões
roles/monitoring.alertPolicyViewer
Leitor do Monitoring AlertPolicy
monitoring.alertPolicies.get
monitoring.alertPolicies.list
roles/monitoring.alertPolicyEditor
Editor da política de alertas do Monitoring
monitoring.alertPolicies.create
monitoring.alertPolicies.delete
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.update

Painéis

Os papéis dos painéis incluem estas permissões:

Nome
Cargo
Inclui as permissões
roles/monitoring.dashboardViewer
Leitor de configuração do painel de monitoramento
monitoring.dashboards.get
monitoring.dashboards.list
roles/monitoring.dashboardEditor
Editor de configuração do painel do Monitoring
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.create
monitoring.dashboards.delete
monitoring.dashboards.update

Canais de notificação

Os papéis de canais de notificação incluem estas permissões:

Nome
Cargo
Inclui as permissões
roles/monitoring.notificationChannelViewer
Leitor de canais de notificação do Monitoring
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.get
monitoring.notificationChannels.list
roles/monitoring.notificationChannelEditor
Editor do canal de notificação do Monitoring
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify

Suspender notificações

Os papéis de adiamento incluem as permissões necessárias para visualizar ou criar adiamento.

Nome
Cargo
Inclui as permissões
roles/monitoring.snoozeViewer
Como monitorar o visualizador de adiamento
monitoring.snoozes.get
monitoring.snoozes.list
roles/monitoring.snoozeEditor
Como monitorar o editor de suspensão
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

Monitoramento do serviço

Os papéis de monitoramento de serviço incluem estas permissões:

Nome
Cargo
Inclui as permissões
roles/monitoring.servicesViewer
Visualizador de serviços de monitoramento
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
roles/monitoring.servicesEditor
Editor de serviços de monitoramento
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

Configurações da verificação de tempo de atividade

Os papéis de configuração de verificações de tempo de atividade incluem estas permissões:

Nome
Cargo
Inclui as permissões
roles/monitoring.uptimeCheckConfigViewer
Leitor de configurações de verificação de tempo de atividade do Monitoring
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
roles/monitoring.uptimeCheckConfigEditor
Editor de configurações de verificações de tempo de atividade do Monitoring
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

Configuração do escopo das métricas

Os papéis de configuração do escopo de métricas incluem estas permissões:

Nome
Cargo
Inclui as permissões
roles/monitoring.metricsScopesViewer
Leitor de escopos de métricas do Monitoring
resourcemanager.projects.get
resourcemanager.projects.list
roles/monitoring.metricsScopesAdmin
Administrador de escopos de métricas do Monitoring
Adicionar e remover projetos monitorados.
resourcemanager.projects.get
resourcemanager.projects.list
monitoring.metricsScopes.link

Google Cloud

Os papéis do Google Cloud incluem estas permissões:

Nome
Cargo
Inclui as permissões
roles/viewer
Leitor
As permissões do Monitoring são exatamente as permissões em roles/monitoring.viewer.
roles/editor
Editor

As permissões do Monitoring são iguais às de roles/monitoring.editor, com exceção da permissão stackdriver.projects.edit. O papel roles/editor não inclui a permissão stackdriver.projects.edit.

Este papel não concede permissão para modificar um escopo de métricas. Para modificar um escopo de métricas ao usar a API, o papel precisa incluir a permissão monitoring.metricsScopes.link. Para modificar um escopo de métricas ao usar o console do Google Cloud, seu papel precisa incluir a permissão monitoring.metricsScopes.link ou você precisa ter o papel roles/monitoring.editor.

roles/owner
Proprietário
As permissões do Monitoring são iguais às de roles/monitoring.admin.

Como conceder papéis do IAM

Os proprietários do projeto, os editores e as contas de serviço padrão do Compute Engine e do App Engine já têm as permissões necessárias. No entanto, para outras contas de usuário, talvez seja necessário conceder esses papéis explicitamente.

Por exemplo, para que uma conta de usuário leia ou grave descritores de métricas usando a API do Monitoring, esse usuário precisa ter as permissões de IAM monitoring.metricDescriptors.* apropriadas. Elas são fornecidas por meio da atribuição dos papéis predefinidos Visualizador do Monitoring (roles/monitoring.viewer) e Editor do Monitoring (roles/monitoring.editor). Para mais informações, consulte as permissões da API.

Essas permissões podem ser concedidas usando o Google Cloud CLI ou o Console do Google Cloud.

Google Cloud CLI

Use o comando gcloud projects add-iam-policy-binding para conceder o papel monitoring.viewer ou monitoring.editor.

Exemplo:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Use o comando gcloud projects get-iam-policy para confirmar os papéis concedidos:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Console do Google Cloud

  1. Acesse o Console do Google Cloud:

    Acesse o console do Google Cloud

  2. Se necessário, clique na lista suspensa de projetos do Google Cloud e selecione o nome do projeto em que você quer ativar a API.

  3. Para expandir o menu de navegação, clique em Menu .

  4. Clique em IAM e Admin.

  5. Se o usuário for um membro, clique em Editar para modificar as permissões. Você pode modificar o papel atual ou adicionar um papel adicional. Para salvar as alterações, clique em Salvar.

  6. Se o usuário não for membro, faça o seguinte:

    1. Clique em Adicionar.
    2. Insira o nome de usuário na caixa de texto Novos membros.
    3. Em Selecionar um papel, clique no menu .
    4. Na barra de filtros , digite o papel apropriado:
      • O Editor do Monitoring concede acesso de leitura e gravação.
      • O Leitor do Monitoring concede acesso somente leitura.

Papéis personalizados

Talvez você queira criar um papel personalizado quando quiser conceder a um principal um conjunto mais limitado de permissões do que aquelas concedidas com papéis predefinidos. Por exemplo, se você configurar Cargas de trabalho garantidas porque tem requisitos de residência de dados ou de nível de impacto 4 (IL4), não use verificações de tempo de atividade porque não há garantia de que os dados da verificação de tempo de atividade sejam mantidos em uma localização geográfica específica. Para evitar o uso de verificações de tempo de atividade, crie um papel que não inclua permissões com o prefixo monitoring.uptimeCheckConfigs.

Para criar um papel personalizado com as permissões do Monitoring, siga estas etapas:

  • Para um papel que conceda permissões apenas para a API Monitoring, escolha as permissões na seção Permissões da API.

  • Para um papel que conceda permissões para o Monitoring no Console do Google Cloud, escolha um dos grupos de permissões na seção Permissões do console para o Monitoring.

  • Para conceder a capacidade de gravar dados de monitoramento, inclua as permissões do papel roles/monitoring.metricWriter na seção Papéis.

Para mais informações sobre papéis personalizados, consulte Como compreender papéis personalizadas do IAM.

Escopos de acesso do Compute Engine

Os escopos de acesso são o método legado de especificar permissões para as instâncias de VM do Compute Engine. Os escopos de acesso a seguir se aplicam ao Monitoring:

Escopo de acesso Permissões concedidas
https://www.googleapis.com/auth/monitoring.read As mesmas permissões de roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write As mesmas permissões de roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Acesso completo ao Monitoring.
https://www.googleapis.com/auth/cloud-platform Acesso completo a todas as APIs do Cloud ativadas.

Para mais detalhes, consulte Escopos de acesso.

Prática recomendada. Como os papéis do IAM da conta de serviço são fáceis de configurar e alterar, uma prática recomendada é fornecer às instâncias de VM o escopo de acesso mais avançado, cloud-platform. Além disso, use os papéis do IAM para restringir o acesso. APIs e operações específicas. Para mais detalhes, consulte Permissões da conta de serviço.