Gérer l'accès à Personalized Service Health

Ce document explique comment activer l'accès et définir des autorisations pour le tableau de bord Personalized Service Health afin d'afficher les événements d'état du service et de configurer des alertes.

Avant de commencer

Make sure that billing is enabled for your Google Cloud project.

Activer Personalized Service Health pour un seul projet

Personalized Service Health et le traitement des événements de santé des services nécessitent l'activation de l'API Service Health. Vous pouvez activer l'API via la console Google Cloud ou Google Cloud CLI. Le traitement des événements et des journaux commencera automatiquement quelques heures après l'activation de l'API.

Console

  1. Dans la bibliothèque "API et services", accédez à l'API Service Health.

    Accéder à l'API Service Health

    Vous pouvez également accéder à la bibliothèque d'API et rechercher "API Service Health".

  2. Sélectionnez le projet.

  3. Sélectionnez le bouton Activer.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  2. Assurez-vous que la dernière version de Google Cloud CLI est installée. Exécutez la commande suivante à partir de Cloud Shell:

      gcloud components update

  3. Créez ou sélectionnez un projet, PROJECT_ID.

    • Créez un projet Google Cloud :

      gcloud projects create PROJECT_ID

    • Sélectionnez le projet Google Cloud que vous avez créé:

      gcloud projects config set project PROJECT_ID

  4. Activez l'API Service Health dans le projet que vous venez de créer.

    gcloud services enable servicehealth.googleapis.com \
 --project PROJECT_ID

Script

Vous pouvez utiliser un script pour activer l'API Service Health et demander à Personalized Service Health de commencer à traiter les événements pour les projets de votre organisation ou de votre dossier.

Pour en savoir plus, consultez Activer une API dans votre projet Google Cloud .

Définir les autorisations requises

Personalized Service Health fournit les rôles suivants.

Accéder à l'API et au tableau de bord de l'état du service

Personalized Service Health fournit un rôle servicehealth.viewer prédéfini que vous pouvez utiliser pour accorder l'accès aux membres du projet. Vous aurez besoin de ce rôle pour accéder à l'API et au tableau de bord Service Health.

Nom du rôle Description Autorisations Personalized Service Health
roles/servicehealth.viewer Lecteur Personalized Service Health Accès en lecture seule aux événements de santé du service. servicehealth.location.list

servicehealth.location.get

servicehealth.events.list

servicehealth.events.get

servicehealth.organizationEvents.list

servicehealth.organizationEvents.get

servicehealth.organizationImpacts.list

servicehealth.organizationImpacts.get

Vous pouvez utiliser les rôles et les autorisations directement via gcloud CLI pour configurer des contrôles d'accès appropriés. Par exemple, vous pouvez accorder le rôle directement avec la commande suivante:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member {USER|GROUP|SERVICE_ACCOUNT} \
  --role roles/servicehealth.viewer

Vous pouvez afficher la stratégie IAM (Identity and Access Management) du projet donné à l'aide de la commande suivante:

gcloud projects get-iam-policy PROJECT_ID

Vous pouvez également ajouter les autorisations directement à un rôle existant:

gcloud iam roles update ROLE_ID --project=PROJECT_ID \
  --add-permissions=servicehealth.events.list
gcloud iam roles update ROLE_ID --project=PROJECT_ID \
  --add-permissions=servicehealth.events.get
gcloud iam roles update ROLE_ID --project=PROJECT_ID \
  --add-permissions=servicehealth.locations.list
gcloud iam roles update ROLE_ID --project=PROJECT_ID \
  --add-permissions=servicehealth.locations.get

Utiliser des API et des services dans vos projets

Attribuez le rôle Consommateur Service Usage (roles/serviceusage.serviceUsageConsumer).

Accéder aux journaux et configurer des alertes de journal

Vous devez au minimum disposer des autorisations pour les alertes basées sur les journaux.

Si vous ne souhaitez pas attribuer le rôle Éditeur Monitoring NotificationChannel (roles/monitoring.notificationChannelEditor), vous pouvez attribuer le rôle Lecteur Monitoring NotificationChannel (roles/monitoring.notificationChannelViewer) pour associer un canal de notification à une règle d'alerte.

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.