Para usar o Monitoring, você precisa ter as permissões apropriadas do Identity and Access Management (IAM, na sigla em inglês). Em geral, cada método REST em uma API tem uma permissão associada. Para usar o método ou um recurso do console que depende dele, é necessário ter permissão para usar o método correspondente. As permissões não são concedidas diretamente aos usuários. Em vez disso, elas são concedidas indiretamente por meio de papéis, que agrupam várias permissões para facilitar o gerenciamento:
- Para mais informações sobre o controle de acesso, consulte Conceitos relacionados ao gerenciamento de acesso.
- Para informações sobre como conceder papéis aos principais, consulte Conceder acesso ao Cloud Monitoring.
Os papéis para combinações comuns de permissões são predefinidos para você. No entanto, também é possível criar suas próprias combinações de permissões criando papéis personalizados do IAM.
Prática recomendada
Recomendamos que você crie grupos do Google para gerenciar o acesso aos projetos do Google Cloud:
- Para mais informações, consulte Como gerenciar grupos no Console do Google Cloud.
- Para informações sobre como definir limites para papéis, consulte Definir limites na concessão de papéis.
- Para uma lista completa de papéis e permissões do IAM, consulte a referência dos papéis básicos e predefinidos do IAM.
VPC Service Controls
Para ter mais acesso de controle aos dados de monitoramento, use o VPC Service Controls, além do IAM.
O VPC Service Controls oferece segurança adicional para o Cloud Monitoring, o que ajuda a reduzir o risco de filtração externa de dados. Com o VPC Service Controls, é possível adicionar um escopo de métricas a um perímetro de serviço que protege os recursos e serviços do Cloud Monitoring contra solicitações originadas de fora do perímetro.
Saiba mais sobre perímetros de serviço na documentação de configuração dos perímetros de serviço do VPC Service Controls.
Para informações sobre o suporte do Monitoring para o VPC Service Controls, incluindo limitações conhecidas, consulte a documentação do VPC Service Controls do Monitoring.
Conceder acesso ao Cloud Monitoring
Para gerenciar papéis do IAM para principais, use a página "Identity and Access Management" no Console do Google Cloud. No entanto, o Cloud Monitoring fornece uma interface simplificada que permite gerenciar os papéis específicos do Monitoring, papéis para envolvidos no projeto e os papéis comuns do Cloud Logging e do Cloud Trace.
Para conceder aos participantes acesso ao Monitoring, Cloud Logging ou Cloud Trace ou conceder um papel para envolvidos no projeto, faça o seguinte:
Console do Google Cloud
-
No Console do Google Cloud, selecione Monitoring e selecione Permissões
ou clique no botão a seguir:Acessar "Permissões de monitoramento"
A página Permissões não exibe todos os principais. Ele lista somente os principais que têm um papel no nível do projeto ou um papel específico do Monitoring, do Logging ou do Trace.
As opções nesta página permitem visualizar todos os principais com papéis que incluem qualquer permissão do Monitoring.
Clique em
CONCEDER ACESSO.Clique em Novas principais e digite o nome de usuário da principal. É possível adicionar vários principais.
Expanda arrow_drop_down Selecionar um papel, selecione um valor no menu Por produto ou serviço e selecione um papel no menu Papéis:
Seleção Por produto ou serviço Seleção de Papéis Descrição Monitoramento Leitor do Monitoring Visualizar dados de monitoramento e informações de configuração. Por exemplo, os participantes com esse papel podem ver painéis personalizados e políticas de alertas. Monitoramento Editor do Monitoring Ver dados do Monitoring, além de criar e editar configurações. Por exemplo, os participantes com esse papel podem criar painéis personalizados e políticas de alertas. Monitoramento Administrador do Monitoring Veja dados do Monitoring, crie e edite configurações e modifique o escopo de métricas. Cloud Trace Usuário do Cloud Trace Acesso total ao console do Trace, acesso de leitura a traces e acesso de leitura e gravação a coletores. Para mais informações, consulte Papéis do Trace. Cloud Trace Administrador do Cloud Trace Acesso total ao console do Trace, acesso de leitura e gravação aos traces e acesso de leitura e gravação aos coletores. Para mais informações, consulte Papéis do Trace. Geração de registros Visualizador de registros Acesso de visualização aos registros. Para mais informações, consulte Papéis do Logging. Geração de registros Administrador do Logging Acesso total a todos os recursos do Cloud Logging. Para mais informações, consulte Papéis do Logging. Projeto Visualizador Acesso de visualização à maioria dos recursos do Google Cloud. Projeto Editor Visualize, crie, atualize e exclua a maioria dos recursos do Google Cloud. Projeto Proprietário Acesso total à maioria dos recursos do Google Cloud. Opcional: para conceder outro papel aos mesmos principais, clique em Adicionar outro papel e repita a etapa anterior.
Clique em Save.
Nas etapas anteriores, descrevemos como conceder determinados papéis a um principal usando as páginas do Monitoring no Console do Google Cloud. Para esses papéis, esta página também é compatível com as opções de edição e exclusão:
Para remover papéis de um principal, selecione a caixa ao lado do principal e clique em
Remover acesso.Para editar os papéis de um principal, clique em edit Editar. Depois de atualizar as configurações, clique em Salvar.
Google Cloud CLI
Use o comando gcloud projects add-iam-policy-binding
para conceder o papel monitoring.viewer
ou monitoring.editor
.
Exemplo:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Use o comando gcloud projects get-iam-policy
para confirmar os papéis concedidos:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Papéis predefinidos
Os papéis do IAM a seguir são predefinidos pelo Cloud Monitoring. Eles concedem permissões apenas para o Monitoring.
Papéis do Monitoring
Os papéis a seguir concedem permissões gerais para o Monitoring:
Nome Cargo |
Inclui as permissões |
---|---|
roles/monitoring.viewer Leitor do Monitoring |
Concede acesso somente leitura ao Monitoring no console e na API do Google Cloud. |
roles/monitoring.editor Editor do Monitoring |
Concede acesso de leitura e gravação ao Monitoring no Console do Google Cloud e na API e concede acesso de leitura e gravação a um escopo de métricas ao usar o console do Google Cloud. O acesso de gravação a um escopo de métricas concede permissão para adicionar (ou remover) projetos monitorados do Google Cloud a esse escopo de métricas. |
roles/monitoring.admin Administrador do Monitoring |
Concede acesso total ao Monitoring no Console do Google Cloud e na API, e concede acesso de leitura e gravação a um escopo de métricas. O acesso de gravação a um escopo de métricas concede permissão para adicionar (ou remover) projetos monitorados do Google Cloud a esse escopo de métricas. |
O papel a seguir é usado pelas contas de serviço para acesso somente de gravação:
Nome Cargo |
Descrição |
---|---|
roles/monitoring.metricWriter Gravador de métricas do Monitoring |
Permite gravar dados de monitoramento em um escopo de métricas, não permite acesso ao Monitoring no Console do Google Cloud. Esse papel é destinado a contas de serviço e agentes. |
Papéis da política de alertas
Os papéis a seguir concedem permissões para políticas de alertas:
Nome Cargo |
Descrição |
---|---|
roles/monitoring.alertPolicyViewer Visualizador de AlertPolicy do Monitoring |
Concede acesso somente leitura a políticas de alertas. |
roles/monitoring.alertPolicyEditor Editor de AlertPolicy do Monitoring |
Concede acesso de leitura e gravação a políticas de alertas. |
Funções do painel
Os papéis a seguir concedem permissões somente para painéis:
Nome Cargo |
Descrição |
---|---|
roles/monitoring.dashboardViewer Visualizador de configuração de painel do Monitoring |
Concede acesso somente leitura às configurações do painel. |
roles/monitoring.dashboardEditor Editor de configuração de painel do Monitoring |
Concede acesso de leitura e gravação às configurações do painel. |
Papéis de incidentes
Os papéis a seguir concedem permissões somente para incidentes:
Nome Cargo |
Descrição |
---|---|
roles/monitoring.cloudConsoleIncidentViewer Como monitorar o visualizador de incidentes do Console do Cloud |
Concede acesso para visualizar incidentes usando o console do Google Cloud. |
roles/monitoring.cloudConsoleIncidentEditor Editor de incidentes do Console do Cloud Monitoring |
Concede acesso para visualizar, reconhecer e encerrar incidentes usando o console do Google Cloud. |
Para mais informações sobre como resolver erros de permissão do IAM ao visualizar incidentes, consulte Não é possível visualizar detalhes do incidente devido a um erro de permissão.
Papéis do canal de notificação
Os papéis a seguir concedem permissões apenas para canais de notificação:
Nome Cargo |
Descrição |
---|---|
roles/monitoring.notificationChannelViewer Visualizador de NotificationChannel do Monitoring |
Concede acesso somente leitura a canais de notificação. |
roles/monitoring.notificationChannelEditor Editor de NotificationChannel do Monitoring |
Concede acesso de leitura e gravação a canais de notificação. |
Suspender papéis de notificação
Os papéis a seguir concedem permissões para suspender notificações:
Nome Cargo |
Descrição |
---|---|
roles/monitoring.snoozeViewer Como monitorar o visualizador de soneca |
Concede acesso somente leitura a sonecas. |
roles/monitoring.snoozeEditor Como monitorar o editor de adiamento |
Concede acesso de leitura e gravação a sonecas. |
Papéis do monitoramento de serviços
Os papéis a seguir concedem permissões para o gerenciamento de serviços:
Nome Cargo |
Descrição |
---|---|
roles/monitoring.servicesViewer Visualizador dos serviços do Monitoring |
Concede acesso somente leitura a serviços. |
roles/monitoring.servicesEditor Editor dos serviços do Monitoring |
Concede acesso de leitura e gravação aos serviços. |
Para mais informações sobre o monitoramento de serviços, consulte Monitoramento de SLO.
Papéis de configuração de verificação de tempo de atividade
Os papéis a seguir concedem permissões somente para configurações da verificação de tempo de atividade:
Nome Cargo |
Descrição |
---|---|
roles/monitoring.uptimeCheckConfigViewer Visualizador de configurações de verificação de tempo de atividade do Monitoring |
Concede acesso somente leitura a configurações de verificação de tempo de atividade. |
roles/monitoring.uptimeCheckConfigEditor Editor de configurações de verificação de tempo de atividade do Monitoring |
Concede acesso de leitura e gravação a configurações de verificação de tempo de atividade. |
Papéis de configuração do escopo de métricas
Os papéis a seguir concedem permissões gerais para escopos de métricas:
Nome Cargo |
Descrição |
---|---|
roles/monitoring.metricsScopesViewer Leitor de escopos de métricas de monitoramento |
Concede acesso somente leitura a escopos de métricas. |
roles/monitoring.metricsScopesAdmin Administrador de escopos de métricas do Monitoring |
Concede acesso de leitura e gravação a escopos de métricas. |
Papéis do Google Cloud
Os papéis a seguir concedem permissões para muitos serviços e recursos no Google Cloud, incluindo o Monitoring:
Nome Cargo |
Inclui as permissões |
---|---|
roles/viewer Leitor |
As permissões do Monitoring são exatamente as permissões em roles/monitoring.viewer .
|
roles/editor Editor |
As permissões do Monitoring são iguais às de Este papel não concede permissão para modificar um escopo de métricas.
Para modificar um escopo de métricas ao usar a API, o papel precisa incluir a permissão |
roles/owner Proprietário |
As permissões do Monitoring são iguais às de roles/monitoring.admin .
|
Permissões para papéis predefinidos
Nesta seção, listamos as permissões atribuídas a papéis predefinidos associados ao Monitoring.
Para mais informações sobre papéis predefinidos, consulte IAM: papéis e permissões. Para ajuda na escolha dos papéis predefinidos mais apropriados, consulte Escolher papéis predefinidos.
Permissões para papéis do Monitoring
Role | Permissions |
---|---|
Monitoring Admin(
Provides the same access as the Monitoring Editor role ( Lowest-level resources where you can grant this role:
|
cloudnotifications. monitoring.*
opsconfigmonitoring.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable stackdriver.*
|
Monitoring AlertPolicy Editor( Read/write access to alerting policies. |
monitoring.alertPolicies.*
|
Monitoring AlertPolicy Viewer( Read-only access to alerting policies. |
monitoring.alertPolicies.get monitoring.alertPolicies.list |
Monitoring Cloud Console Incident Editor Beta( Read/write access to incidents from Cloud Console. |
|
Monitoring Cloud Console Incident Viewer Beta( Read access to incidents from Cloud Console. |
|
Monitoring Dashboard Configuration Editor( Read/write access to dashboard configurations. |
monitoring.dashboards.*
|
Monitoring Dashboard Configuration Viewer( Read-only access to dashboard configurations. |
monitoring.dashboards.get monitoring.dashboards.list |
Monitoring Editor( Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
cloudnotifications. monitoring.alertPolicies.*
monitoring.dashboards.*
monitoring.groups.*
monitoring.metricDescriptors.*
monitoring.
monitoring.
monitoring. monitoring. monitoring. monitoring. monitoring. monitoring. monitoring. monitoring.publicWidgets.*
monitoring.services.*
monitoring.slos.*
monitoring.snoozes.*
monitoring.timeSeries.*
monitoring.
opsconfigmonitoring.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable stackdriver.*
|
Monitoring Metric Writer( Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role:
|
monitoring. monitoring. monitoring.
monitoring.
monitoring.timeSeries.create |
Monitoring Metrics Scopes Admin Beta( Access to add and remove monitored projects from metrics scopes. |
monitoring.metricsScopes.link resourcemanager.projects.get resourcemanager.projects.list |
Monitoring Metrics Scopes Viewer Beta( Read-only access to metrics scopes and their monitored projects. |
resourcemanager.projects.get resourcemanager.projects.list |
Monitoring NotificationChannel Editor Beta( Read/write access to notification channels. |
monitoring.
monitoring. monitoring. monitoring. monitoring. monitoring. monitoring. monitoring. |
Monitoring NotificationChannel Viewer Beta( Read-only access to notification channels. |
monitoring.
monitoring. monitoring. |
Monitoring Services Editor( Read/write access to services. |
monitoring.services.*
monitoring.slos.*
|
Monitoring Services Viewer( Read-only access to services. |
monitoring.services.get monitoring.services.list monitoring.slos.get monitoring.slos.list |
Monitoring Snooze Editor(
|
monitoring.snoozes.*
|
Monitoring Snooze Viewer(
|
monitoring.snoozes.get monitoring.snoozes.list |
Monitoring Uptime Check Configuration Editor Beta( Read/write access to uptime check configurations. |
monitoring.
|
Monitoring Uptime Check Configuration Viewer Beta( Read-only access to uptime check configurations. |
monitoring. monitoring. |
Monitoring Viewer( Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role:
|
cloudnotifications. monitoring.alertPolicies.get monitoring.alertPolicies.list monitoring.dashboards.get monitoring.dashboards.list monitoring.groups.get monitoring.groups.list monitoring. monitoring.
monitoring.
monitoring.
monitoring. monitoring. monitoring.publicWidgets.get monitoring.publicWidgets.list monitoring.services.get monitoring.services.list monitoring.slos.get monitoring.slos.list monitoring.snoozes.get monitoring.snoozes.list monitoring.timeSeries.list monitoring. monitoring. opsconfigmonitoring. resourcemanager.projects.get resourcemanager.projects.list stackdriver.projects.get stackdriver. |
Permissões para papéis de monitoramento de configuração de operações
Role | Permissions |
---|---|
Ops Config Monitoring Resource Metadata Viewer Beta( Read-only access to resource metadata. |
opsconfigmonitoring. |
Ops Config Monitoring Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata. |
opsconfigmonitoring. |
Permissões para papéis do Stackdriver
Role | Permissions |
---|---|
Stackdriver Accounts Editor( Read/write access to manage Stackdriver account structure. |
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable stackdriver.projects.*
|
Stackdriver Accounts Viewer( Read-only access to get and list information about Stackdriver account structure. |
resourcemanager.projects.get resourcemanager.projects.list stackdriver.projects.get |
Stackdriver Resource Metadata Writer Beta( Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata. |
stackdriver. |
Papéis do Google Cloud
Os papéis do Google Cloud incluem estas permissões:
Nome Cargo |
Inclui as permissões |
---|---|
roles/viewer Leitor |
As permissões do Monitoring são exatamente as permissões em roles/monitoring.viewer .
|
roles/editor Editor |
As permissões do Monitoring são iguais às de Este papel não concede permissão para modificar um escopo de métricas.
Para modificar um escopo de métricas ao usar a API, o papel precisa incluir a permissão |
roles/owner Proprietário |
As permissões do Monitoring são iguais às de roles/monitoring.admin .
|
Papéis personalizados
Talvez você queira criar um papel personalizado quando quiser conceder a um principal um conjunto mais limitado de permissões do que aquelas concedidas com papéis predefinidos.
Por exemplo, se você configurar Cargas de trabalho garantidas porque tem requisitos de residência de dados ou de nível de impacto 4 (IL4), não use verificações de tempo de atividade porque não há garantia de que os dados da verificação de tempo de atividade sejam mantidos em uma localização geográfica específica.
Para evitar o uso de verificações de tempo de atividade, crie um papel que não inclua permissões com o prefixo monitoring.uptimeCheckConfigs
.
Para criar um papel personalizado com as permissões do Monitoring, siga estas etapas:
Para um papel que conceda permissões apenas para a API Monitoring, escolha as permissões na seção Permissões e papéis predefinidos.
Para um papel que conceda permissões para o Monitoring no Console do Google Cloud, escolha grupos de permissões na seção Papéis do Monitoring.
Para conceder a capacidade de gravar dados de monitoramento, inclua as permissões do papel
roles/monitoring.metricWriter
na seção Permissões e papéis predefinidos.
Para mais informações sobre papéis personalizados, consulte Como compreender papéis personalizadas do IAM.
Escopos de acesso do Compute Engine
Os escopos de acesso são o método legado de especificar permissões para as instâncias de VM do Compute Engine. Os escopos de acesso a seguir se aplicam ao Monitoring:
Escopo de acesso | Permissões concedidas |
---|---|
https://www.googleapis.com/auth/monitoring.read | As mesmas permissões de roles/monitoring.viewer . |
https://www.googleapis.com/auth/monitoring.write | As mesmas permissões de roles/monitoring.metricWriter . |
https://www.googleapis.com/auth/monitoring | Acesso completo ao Monitoring. |
https://www.googleapis.com/auth/cloud-platform | Acesso completo a todas as APIs do Cloud ativadas. |
Para mais detalhes, consulte Escopos de acesso.
Prática recomendada. Como os papéis do IAM da conta de serviço são fáceis
de configurar e alterar, uma prática recomendada é fornecer às instâncias de VM
o escopo de acesso mais avançado, cloud-platform
. Além disso, use os papéis
do IAM para restringir o acesso. APIs e operações específicas. Para mais detalhes, consulte Permissões da conta de serviço.