O Stackdriver Monitoring controla o acesso a dados de monitoramento nos espaços de trabalho. Para isso, são usados os papéis e permissões do Cloud Identity and Access Management (Cloud IAM).
Visão geral
Para usar o Monitoring, é preciso ter as permissões apropriadas do Cloud IAM concedidas no espaço de trabalho.
Em geral, cada método REST em uma API tem uma permissão associada, e você precisa ter permissão para usar o método correspondente. As permissões não são concedidas diretamente aos usuários. Em vez disso, elas são concedidas indiretamente por meio de papéis, que agrupam várias permissões para facilitar o gerenciamento delas. Para mais informações sobre esses conceitos, acesse a documentação do Cloud IAM sobre papéis, permissões e conceitos relacionados.
Os papéis que fornecem combinações comuns de permissões já estão predefinidos para você. No entanto, também é possível criar suas próprias combinações de permissões gerando papéis personalizados do Cloud IAM.
Papéis predefinidos
Os papéis do Cloud IAM a seguir são predefinidos pelo Stackdriver Monitoring. Eles concedem permissões apenas para o Monitoring.
Monitoring
Os papéis a seguir concedem permissões gerais para o Monitoring:
| ID do papel Nome do papel |
Descrição |
|---|---|
roles/monitoring.viewerVisualizador do Monitoring |
Oferece acesso somente leitura ao console do Stackdriver Monitoring e à API |
roles/monitoring.editorEditor do Monitoring |
Oferece acesso de leitura e gravação ao console do Stackdriver Monitoring e à API e permite gravar dados de monitoramento em um espaço de trabalho |
roles/monitoring.adminAdministrador do Monitoring |
Oferece acesso total a todos os recursos do Monitoring |
O papel a seguir é usado pelas contas de serviço para conceder acesso somente de gravação:
| ID do papel Nome do papel |
Descrição |
|---|---|
roles/monitoring.metricWriterGravador de métricas do Monitoring |
Permite gravar dados de monitoramento em um espaço de trabalho. Não permite acesso ao console do Stackdriver Monitoring. Para contas de serviço |
Políticas de alertas
Os papéis a seguir concedem permissões apenas para políticas de alertas:
| ID do papel Nome do papel |
Descrição |
|---|---|
roles/monitoring.alertPolicyViewerVisualizador de AlertPolicy do Monitoring |
Oferece acesso somente leitura a políticas de alertas |
roles/monitoring.alertPolicyEditorEditor de AlertPolicy do Monitoring |
Oferece acesso de leitura e gravação a políticas de alertas |
Painéis
Os papéis a seguir concedem permissões somente para painéis:
| ID do papel Nome do papel |
Descrição |
|---|---|
roles/monitoring.dashboardViewerVisualizador de configuração de painel do Monitoring |
Oferece acesso somente leitura às configurações do painel |
roles/monitoring.dashboardEditorEditor de configuração de painel do Monitoring |
Oferece acesso de leitura e gravação às configurações do painel |
Canais de notificação
Os papéis a seguir concedem permissões apenas para canais de notificação:
| ID do papel Nome do papel |
Descrição |
|---|---|
roles/monitoring.notificationChannelViewerVisualizador de NotificationChannel do Monitoring |
Oferece acesso somente leitura a canais de notificação |
roles/monitoring.notificationChannelEditorEditor de NotificationChannel do Monitoring |
Oferece acesso de leitura e gravação a canais de notificação |
Monitoramento de serviço
Os papéis a seguir concedem permissões para o gerenciamento de serviços:
| ID do papel Nome do papel |
Descrição |
|---|---|
roles/monitoring.servicesViewerVisualizador dos serviços do Monitoring |
Oferece acesso somente leitura aos serviços |
roles/monitoring.servicesEditorEditor dos serviços do Monitoring |
Oferece acesso de leitura e gravação aos serviços |
Para mais informações sobre o monitoramento de serviço, consulte Monitoramento de serviço: como trabalhar com a API.
Configurações da verificação de tempo de atividade
Os papéis a seguir concedem permissões somente para configurações da verificação de tempo de atividade:
| ID do papel Nome do papel |
Descrição |
|---|---|
roles/monitoring.uptimeCheckConfigViewerVisualizador de configurações de verificação de tempo de atividade do Monitoring |
Oferece acesso somente leitura a configurações de verificação de tempo de atividade |
roles/monitoring.uptimeCheckConfigEditorEditor de configurações de verificação de tempo de atividade do Monitoring |
Oferece acesso de leitura e gravação a configurações de verificação de tempo de atividade |
Google Cloud
Os papéis a seguir concedem permissões para muitos serviços e recursos no Google Cloud, incluindo o Monitoring:
| ID do papel Nome do papel |
Descrição |
|---|---|
roles/viewerVisualizador do projeto |
Oferece acesso somente leitura ao console do Stackdriver Monitoring e à API |
roles/editorEditor do projeto |
Oferece acesso de leitura e gravação ao console do Stackdriver Monitoring e à API |
roles/ownerProprietário do projeto |
Oferece acesso total ao console do Stackdriver Monitoring e à API |
Papéis personalizados
É possível também criar seus próprios papéis personalizados contendo listas de permissões. Para mais detalhes sobre papéis e permissões, consulte Permissões e papéis e Papéis personalizados nesta página.
Permissões e papéis
Nesta seção, você encontra uma lista das permissões e papéis do Cloud IAM que se aplicam ao Monitoring.
Permissões da API
Cada método da API do Monitoring requer uma permissão específica do Cloud IAM, conforme listado na tabela a seguir.
| Método da API Monitoring | Permissão | Tipo de recurso |
|---|---|---|
projects.alertPolicies.create |
monitoring.alertPolicies.create |
project1 |
projects.alertPolicies.delete |
monitoring.alertPolicies.delete |
AlertPolicy |
projects.alertPolicies.get |
monitoring.alertPolicies.get |
AlertPolicy |
projects.alertPolicies.list |
monitoring.alertPolicies.list |
project1 |
projects.alertPolicies.patch |
monitoring.alertPolicies.update |
AlertPolicy |
projects.dashboards.create |
monitoring.dashboards.create |
project1 |
projects.dashboards.delete |
monitoring.dashboards.delete |
project1 |
projects.dashboards.get |
monitoring.dashboards.get |
project1 |
projects.dashboards.list |
monitoring.dashboards.list |
project1 |
projects.dashboards.patch |
monitoring.dashboards.update |
project1 |
projects.groups.create |
monitoring.groups.create |
project1 |
projects.groups.delete |
monitoring.groups.delete |
Group |
projects.groups.get |
monitoring.groups.get |
Group |
projects.groups.list |
monitoring.groups.list |
project1 |
projects.groups.update |
monitoring.groups.update |
Group |
projects.groups.members.list |
monitoring.groups.get |
Group |
projects.metricDescriptors.create |
monitoring.metricDescriptors.create |
projeto |
projects.metricDescriptors.delete |
monitoring.metricDescriptors.delete |
MetricDescriptor |
projects.metricDescriptors.get |
monitoring.metricDescriptors.get |
MetricDescriptor |
projects.metricDescriptors.list |
monitoring.metricDescriptors.list |
projeto |
projects.monitoredResourceDescriptors.get |
monitoring.monitoredResourceDescriptors.get |
MonitoredResourceDescriptor |
projects.monitoredResourceDescriptors.list |
monitoring.monitoredResourceDescriptors.list |
projeto |
projects.notificationChannelDescriptors.get |
monitoring.notificationChannelDescriptors.get |
NotificationChannelDescriptor |
projects.notificationChannelDescriptors.list |
monitoring.notificationChannelDescriptors.list |
project1 |
projects.notificationChannels.create |
monitoring.notificationChannels.create |
project1 |
projects.notificationChannels.delete |
monitoring.notificationChannels.delete |
NotificationChannel |
projects.notificationChannels.get |
monitoring.notificationChannels.get |
NotificationChannel |
projects.notificationChannels.getVerificationCode |
monitoring.notificationChannels.getVerificationCode |
NotificationChannel |
projects.notificationChannels.list |
monitoring.notificationChannels.list |
project1 |
projects.notificationChannels.patch |
monitoring.notificationChannels.update |
NotificationChannel |
projects.notificationChannels.sendVerificationCode |
monitoring.notificationChannels.sendVerificationCode |
NotificationChannel |
projects.notificationChannels.verify |
monitoring.notificationChannels.verify |
NotificationChannel |
projects.services.create |
monitoring.services.create |
project1 |
projects.services.delete |
monitoring.services.delete |
Service |
projects.services.get |
monitoring.services.get |
Service |
projects.services.list |
monitoring.services.list |
project1 |
projects.services.patch |
monitoring.services.update |
Service |
projects.services.serviceLevelObjectives.create |
monitoring.slos.create |
project1 |
projects.services.serviceLevelObjectives.delete |
monitoring.slos.delete |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.get |
monitoring.slos.get |
ServiceLevelObjective |
projects.services.serviceLevelObjectives.list |
monitoring.slos.list |
project1 |
projects.services.serviceLevelObjectives.patch |
monitoring.slos.update |
ServiceLevelObjective |
projects.timeSeries.create |
monitoring.timeSeries.create |
projeto |
projects.timeSeries.list |
monitoring.timeSeries.list |
project |
projects.uptimeCheckConfigs.create |
monitoring.uptimeCheckConfigs.create |
UptimeCheckConfig |
projects.uptimeCheckConfigs.delete |
monitoring.uptimeCheckConfigs.delete |
UptimeCheckConfig |
projects.uptimeCheckConfigs.get |
monitoring.uptimeCheckConfigs.get |
UptimeCheckConfig |
projects.uptimeCheckConfigs.list |
monitoring.uptimeCheckConfigs.list |
UptimeCheckConfig |
projects.uptimeCheckConfigs.patch |
monitoring.uptimeCheckConfigs.update |
UptimeCheckConfig |
–> 1 O projeto precisa estar em um espaço de trabalho.
Permissões do console do Stackdriver Monitoring
Cada recurso do console do Stackdriver Monitoring exige que você tenha a permissão para a API usada para implementar o recurso. Por exemplo, a capacidade de procurar grupos exige que você tenha permissão para os métodos list e get aplicáveis aos grupos e aos membros deles.
O console do Stackdriver Monitoring pode perder a funcionalidade se as permissões necessárias forem revogadas.
Na tabela a seguir, você vê uma lista das permissões exigidas para usar o console do Stackdriver Monitoring:
| Atividade do console do Stackdriver Monitoring | Permissões exigidas | Por tipo de recurso |
|---|---|---|
| Acesso completo somente leitura | O conjunto de permissões incluídas no papel roles/monitoring.viewer |
project1 |
| Console de acesso de leitura e gravação | O conjunto de permissões incluídas no papel roles/monitoring.editor |
project1 |
| Acesso total ao console | O conjunto de permissões incluídas no papel roles/monitoring.admin |
project1 |
1 O projeto precisa estar em um espaço de trabalho.
Papéis
Na tabela a seguir, você vê uma lista dos papéis do Cloud IAM que concedem acesso ao Monitoring e as permissões associadas a cada papel.
Vários desses papéis são gradativos: por exemplo, roles/monitoring.editor inclui todas as permissões de roles/monitoring.viewer e mais um conjunto de permissões.
É possível atribuir os papéis apenas para envolvidos no projeto, e os projetos precisam estar em espaços de trabalho.
Monitoring
Os papéis do Monitoring incluem estas permissões:
| ID do papel Nome do papel |
Inclui as permissões |
|---|---|
roles/monitoring.viewerVisualizador do Monitoring |
monitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.analyzedMetrics.get1monitoring.analyzedMetrics.list1monitoring.dashboards.getmonitoring.dashboards.listmonitoring.groups.getmonitoring.groups.listmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.listmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listopsconfigmonitoring.resourceMetadata.listresourcemanager.projects.getresourcemanager.projects.liststackdriver.projects.get
|
roles/monitoring.editorEditor do Monitoring |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.updatemonitoring.analyzedMetrics.create1monitoring.analyzedMetrics.delete1monitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.updatemonitoring.groups.createmonitoring.groups.deletemonitoring.groups.getmonitoring.groups.listmonitoring.groups.updatemonitoring.metricDescriptors.createmonitoring.metricDescriptors.deletemonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannelDescriptors.getmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verifymonitoring.publicWidgets.createmonitoring.publicWidgets.deletemonitoring.publicWidgets.getmonitoring.publicWidgets.listmonitoring.publicWidgets.updatemonitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.updatemonitoring.timeSeries.createmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.updateopsconfigmonitoring.resourceMetadata.writeresourcemanager.projects.getresourcemanager.projects.liststackdriver.projects.editstackdriver.projects.getstackdriver.resourceMetadata.write
|
roles/monitoring.adminAdministrador do Monitoring |
As permissões em roles/monitoring.editor, além do seguinte:monitoring.notificationChannels.getVerificationCode |
1 Essas permissões existem para gerar compatibilidade com o console do Stackdriver Monitoring. Não é possível usá-las em papéis personalizados.
O papel a seguir é usado pelas contas de serviço para conceder acesso somente de gravação:
| ID do papel Nome do papel |
Inclui as permissões |
|---|---|
roles/monitoring.metricWriterGravador de métricas do Monitoring |
monitoring.metricDescriptors.createmonitoring.metricDescriptors.getmonitoring.metricDescriptors.listmonitoring.monitoredResourceDescriptors.getmonitoring.monitoredResourceDescriptors.listmonitoring.timeSeries.create
|
Políticas de alertas
Os papéis de política de alertas incluem estas permissões:
| ID do papel Nome do papel |
Inclui as permissões |
|---|---|
roles/monitoring.alertPolicyViewerVisualizador de AlertPolicy do Monitoring |
monitoring.alertPolicies.getmonitoring.alertPolicies.list |
roles/monitoring.alertPolicyEditorEditor de AlertPolicy do Monitoring |
monitoring.alertPolicies.createmonitoring.alertPolicies.deletemonitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.update |
Painéis
Os papéis dos painéis incluem estas permissões:
| ID do papel Nome do papel |
Inclui as permissões |
|---|---|
roles/monitoring.dashboardsViewerVisualizador de configuração de painel do Monitoring |
monitoring.dashboards.getmonitoring.dashboards.list |
roles/monitoring.dashboardsEditorEditor de configuração de painel do Monitoring |
monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.createmonitoring.dashboards.deletemonitoring.dashboards.update |
Canais de notificação
Os papéis de canais de notificação incluem estas permissões:
| ID do papel Nome do papel |
Inclui as permissões |
|---|---|
roles/monitoring.notificationChannelViewerVisualizador de NotificationChannel do Monitoring |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.getmonitoring.notificationChannels.list |
roles/monitoring.notificationChannelEditorEditor de NotificationChannel do Monitoring |
monitoring.notificationChannelDescriptors.getmonitoring.notificationChannelDescriptors.listmonitoring.notificationChannels.createmonitoring.notificationChannels.deletemonitoring.notificationChannels.getmonitoring.notificationChannels.listmonitoring.notificationChannels.sendVerificationCodemonitoring.notificationChannels.updatemonitoring.notificationChannels.verify |
Monitoramento de serviço
Os papéis de monitoramento de serviço incluem estas permissões:
| ID do papel Nome do papel |
Inclui as permissões |
|---|---|
roles/monitoring.servicesViewerVisualizador dos serviços do Monitoring |
monitoring.services.getmonitoring.services.listmonitoring.slos.getmonitoring.slos.list |
roles/monitoring.servicesEditorEditor dos serviços do Monitoring |
monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.update |
Configurações da verificação de tempo de atividade
Os papéis de configuração de verificações de tempo de atividade incluem estas permissões:
| ID do papel Nome do papel |
Inclui as permissões |
|---|---|
roles/monitoring.uptimeCheckConfigViewerVisualizador de configurações de verificação de tempo de atividade do Monitoring |
monitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.list |
roles/monitoring.uptimeCheckConfigEditorEditor de configurações de verificação de tempo de atividade do Monitoring |
monitoring.uptimeCheckConfigs.createmonitoring.uptimeCheckConfigs.deletemonitoring.uptimeCheckConfigs.getmonitoring.uptimeCheckConfigs.listmonitoring.uptimeCheckConfigs.update |
Google Cloud
Os papéis do Google Cloud incluem estas permissões:
| ID do papel Nome do papel |
Inclui as permissões |
|---|---|
roles/viewerVisualizador do projeto |
As permissões do Monitoring são iguais às de roles/monitoring.viewer. |
roles/editorEditor do projeto |
As permissões do Monitoring são iguais às de roles/monitoring.editor. |
roles/ownerProprietário do projeto |
As permissões do Monitoring são iguais às de roles/editor. |
Como conceder papéis do Cloud IAM
Os proprietários do projeto, os editores e as contas de serviço padrão do Compute Engine e do App Engine já têm as permissões necessárias. No entanto, para outras contas de usuário, talvez seja necessário conceder esses papéis explicitamente.
Por exemplo, para que uma conta de usuário leia ou grave descritores de métricas usando a API do Monitoring, esse usuário precisa ter as permissões monitoring.metricDescriptors.* apropriadas do Cloud IAM. Elas são fornecidas por meio da atribuição dos papéis predefinidos Visualizador do Monitoring (roles/monitoring.viewer) e Editor do Monitoring (roles/monitoring.editor).
Para mais informações, consulte as permissões da API.
Essas permissões são concedidas usando a ferramenta de linha de comando da gcloud do SDK do Cloud ou o Console do Google Cloud.
SDK do Cloud
Use o comando gcloud projects add-iam-policy-binding para conceder o papel monitoring.viewer ou monitoring.editor.
Por exemplo:
export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
$PROJECT_ID \
--member="user:$EMAIL_ADDRESS" \
--role="roles/monitoring.editor"
Use o comando gcloud projects get-iam-policy para confirmar os papéis concedidos:
export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID
Console do Cloud
Acesse o Console do Cloud:
Se necessário, clique na lista suspensa de projetos do Google Cloud e selecione o nome do projeto em que você quer ativar a API.
Para expandir o menu de navegação, clique em Menu menu.
Clique em IAM e Admin.
Se o usuário não estiver presente, clique no botão Adicionar e, em seguida, clique na lista suspensa ao lado da opção Selecionar um papel. Caso contrário, clique para alternar na coluna Papéis ao lado do usuário existente cujas permissões você quer editar.
No painel Gerenciar papéis, mova o ponteiro para o lado esquerdo e role até Monitoring.
No painel Gerenciar papéis, mova o ponteiro para o lado direito e selecione o papel apropriado:
- O Editor do Monitoring concede acesso de leitura e gravação.
- O Leitor do Monitoring concede acesso somente leitura.
Papéis personalizados
Para criar um papel personalizado com as permissões do Monitoring, faça o seguinte:
Para um papel que conceda permissões apenas da API do Monitoring, escolha dentre as permissões na seção Permissões da API.
Para um papel que conceda permissões do console do Stackdriver Monitoring, escolha dentre os grupos de permissão na seção Permissões do console do Stackdriver Monitoring.
Para conceder a capacidade de gravar dados de monitoramento, inclua as permissões do papel
roles/monitoring.metricWriterna seção Papéis.
Para mais informações sobre papéis personalizados, consulte Noções básicas sobre papéis personalizados do IAM.
Escopos de acesso do Compute Engine
Os escopos de acesso são o método legado de especificar permissões para as instâncias de VM do Compute Engine. Os escopos de acesso a seguir se aplicam ao Monitoring:
| Escopo de acesso | Permissões concedidas |
|---|---|
| https://www.googleapis.com/auth/monitoring.read | As mesmas permissões de roles/monitoring.viewer. |
| https://www.googleapis.com/auth/monitoring.write | As mesmas permissões de roles/monitoring.metricWriter. |
| https://www.googleapis.com/auth/monitoring | Acesso completo ao Monitoring. |
| https://www.googleapis.com/auth/cloud-platform | Acesso completo a todas as APIs do Cloud ativadas. |
Para mais detalhes, consulte Escopos de acesso.
Prática recomendada. Como os papéis do Cloud IAM da conta de serviço são fáceis de configurar e alterar, uma prática recomendada é fornecer às instâncias de VM o escopo de acesso mais avançado, cloud-platform. Além disso, use os papéis do Cloud IAM para restringir o acesso a APIs e operações específicas. Para mais detalhes, consulte Permissões da conta de serviço.