Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En este documento, se describe cómo puedes otorgar a diferentes equipos acceso a diferentes conjuntos de proyectos. Puedes establecer este tipo de supervisión multiusuario mediante el uso de permisos de métricas en combinación con varias instancias de Grafana y varios sincronizadores de fuentes de datos.
Debes configurar solo una instancia de Grafana y un sincronizador de fuentes de datos para cada permiso de métricas, sin importar cuántos proyectos haya en el permiso de métricas o cuántas regiones de Google Cloud uses:
Las consultas a Monarch se expanden de forma automática a todos los proyectos dentro de un permiso de métricas, a menos que se incluya un filtro project_id.
Las consultas se ejecutan en todas las regiones, a menos que se incluya un filtro location.
No es necesario cambiar nada en el lado de la transferencia para lograr la supervisión multiusuario.
En el siguiente diagrama, se ilustra una configuración para la supervisión multiusuario:
Para establecer y usar una configuración como la que se muestra en el diagrama, configura los permisos de métricas, las instancias de Grafana y los sincronizadores de fuentes de datos de la siguiente manera:
Desea que el equipo de desarrollo A pueda leer y acceder a los proyectos 1 y 2. Para configurar este acceso, haz lo siguiente:
Coloca los proyectos 1 y 2 en el permiso de métricas de scoping_project_A.
Coloca un sincronizador de fuentes de datos en el proyecto 1 y configúralo para usar scoping_project_A. Otorga a la cuenta de servicio del sincronizador los permisos de Visualizador de Monitoring para scoping_project_A.
Cuando un usuario emite consultas desde la instancia de Grafana asociada con este
sincronizador de fuentes de datos, Monarch expande scoping_project_A
en sus proyectos supervisados constituyentes y muestra resultados para los
proyectos 1 y 2, en todas las regiones de Google Cloud . Debido a que la instancia de Grafana y el sincronizador de fuentes de datos se encuentran dentro del proyecto 1, solo los usuarios con acceso al proyecto 1 pueden consultar scoping_project_A.
Desea que el equipo de desarrollo B pueda leer los proyectos 3 y 4, y acceder a ellos. Para configurar este acceso, haz lo siguiente:
Coloca los proyectos 3 y 4 en el alcance de las métricas de scoping_project_B.
Coloca un sincronizador de fuentes de datos en el Proyecto 3 y configúralo para usar scoping_project_B. Otorga a la cuenta de servicio del sincronizador permisos de Visualizador de Monitoring para scoping_project_B.
Cuando un usuario emite consultas desde la instancia de Grafana asociada con este
sincronizador de fuentes de datos, Monarch expande scoping_project_B
en sus proyectos supervisados constituyentes y muestra resultados para los
proyectos 3 y 4, en todas las Google Cloud regiones. Debido a que la instancia de Grafana y el sincronizador de fuentes de datos se encuentran dentro del proyecto 3, solo los usuarios con acceso al proyecto 3 pueden consultar scoping_project_B.
El objetivo es que el equipo de SRE pueda leer y acceder a los proyectos 1, 2, 3, 4 y 5. Para configurar este acceso, haz lo siguiente:
Coloca todos los proyectos en el alcance de las métricas de scoping_project_C.
Pon un sincronizador de fuentes de datos en el proyecto 5 y configúralo para usar scoping_project_C. Otorga a la cuenta de servicio del sincronizador permisos de Visualizador de Monitoring para scoping_project_C.
Cuando un usuario emite consultas desde la instancia de Grafana asociada con este
sincronizador de fuentes de datos, Monarch expande scoping_project_C
en sus proyectos supervisados constituyentes y muestra resultados para los proyectos
1, 2, 3, 4 y 5, en todas las Google Cloud regiones. Debido a que la instancia de Grafana y el sincronizador de fuentes de datos se encuentran dentro del Proyecto 5, solo los usuarios con acceso al Proyecto 5 pueden consultar scoping_project_C.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["# Multi-tenant monitoring and querying\n\nThis document describes how you can give different teams access to different\nsets of projects. You can establish this kind of multi-tenant monitoring by\nusing [metrics scopes](/stackdriver/docs/managed-prometheus/best-practices/config#metrics-scopes) in combination with\nmultiple instances of Grafana and multiple [data source syncers](/stackdriver/docs/managed-prometheus/query#grafana-oauth).\n\nYou need to set up only one Grafana instance and one data source syncer\nfor each metrics scope, regardless of how many projects are\nin the metrics scope or how many Google Cloud regions you use:\n\n- Queries to Monarch automatically expand to all projects within a\n metrics scope, unless a `project_id` filter is included.\n\n- Queries execute across all regions unless a `location` filter is\n included.\n\nYou don't need to change anything on the ingestion side to achieve\nmulti-tenant monitoring.\n\nThe following diagram illustrates a configuration for multi-tenant monitoring:\n\nTo set up and use a configuration like the one in the diagram, set up\nyour metrics scopes, Grafana instances, and data source syncers\nas follows:\n\n- You want Dev team A to be able to read from and access Projects 1 and 2. To\n set up this access, you do the following:\n\n - Put Project 1 and Project 2 into the metrics scope of\n scoping_project_A.\n\n - Put a data source syncer in Project 1, and configure it\n to use scoping_project_A. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_A.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_A\n into its constituent monitored projects and returns results for both\n Project 1 and Project 2, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 1, only\n users with access to Project 1 can query scoping_project_A.\n- You want Dev team B to be able to read from and access Projects 3 and 4. To\n set up this access, you do the following:\n\n - Put Project 3 and Project 4 into the metrics scope of\n scoping_project_B.\n\n - Put a data source syncer in Project 3, and configure it\n to use scoping_project_B. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_B.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_B\n into its constituent monitored projects and returns results for both\n Project 3 and Project 4, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 3, only\n users with access to Project 3 can query scoping_project_B.\n- You want the SRE team to be able to read from and access Projects 1, 2, 3, 4,\n and 5. To set up this access, you do the following:\n\n - Put all the projects into the metrics scope of\n scoping_project_C.\n\n - Put a data source syncer in Project 5, and configure it\n to use scoping_project_C. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_C.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_C\n into its constituent monitored projects and returns results for Projects\n 1, 2, 3, 4, and 5, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 5, only\n users with access to Project 5 can query scoping_project_C."]]
