Controlla l'accesso con IAM

Quando crei un Google Cloud progetto, sei l'unico utente del progetto. Per impostazione predefinita, nessun altro utente ha accesso al tuo progetto o alle sue risorse. Identity and Access Management (IAM) gestisce l'accesso alle Google Cloud risorse, come i cluster. Le autorizzazioni vengono assegnate alle entità IAM.

IAM ti consente di concedere ruoli alle entità. Un ruolo è una raccolta di autorizzazioni e, se concesso a un'entità, controlla l'accesso a una o più Google Cloud risorse. Puoi utilizzare i seguenti tipi di ruoli:

  • I ruoli di base forniscono autorizzazioni approssimative limitate a Proprietario, Editor e Visualizzatore.
  • Ruoli predefiniti, che forniscono un accesso più granulare rispetto ai ruoli di base e risolvono molti casi di uso comuni.
  • I ruoli personalizzati ti consentono di creare combinazioni uniche di autorizzazioni.

Un entità può essere una delle seguenti:

  • Account utente
  • Service account
  • Gruppo Google di Google Workspace
  • Dominio Google Workspace
  • Dominio Cloud Identity

Tipi di criteri IAM

IAM supporta i seguenti tipi di criteri:

  • Policy di autorizzazione: concedi i ruoli alle entità. Per maggiori dettagli, consulta Criteri di autorizzazione.
  • Criteri di negazione: impediscono alle entità di utilizzare autorizzazioni IAM specifiche, indipendentemente dai ruoli a loro assegnati. Per i dettagli, consulta Policy di rifiuto.

Utilizza i criteri di rifiuto per impedire a entità specifiche di eseguire azioni specifiche nel progetto, nella cartella o nell'organizzazione anche se un criterio di autorizzazione IAM assegna a queste entità un ruolo contenente le autorizzazioni pertinenti.

Ruoli predefiniti

IAM fornisce ruoli predefiniti per concedere l'accesso granulare a determinate Google Cloud risorse e per impedire l'accesso indesiderato ad altre Google Cloud risorse. Google Cloud crea e gestisce questi ruoli e aggiorna automaticamente le relative autorizzazioni in base alle necessità, ad esempio quando Google Cloud Observability aggiunge nuove funzionalità.

I ruoli predefiniti per l'osservabilità di Google Cloud contengono autorizzazioni per funzionalità che coprono più aree di prodotto. Per questo motivo, potresti visualizzare alcune autorizzazioni, come observability.scopes.get, incluse nei ruoli predefiniti per queste aree di prodotto. Ad esempio, il ruolo Visualizzatore log (roles/logging.viewer) include l'autorizzazione observability.scopes.get, oltre a molte autorizzazioni specifiche per il logging.

La tabella seguente elenca i ruoli predefiniti per l'osservabilità di Google Cloud. Per ogni ruolo, la tabella mostra il titolo, la descrizione, le autorizzazioni contenute e il tipo di risorsa di livello più basso in cui è possibile concedere i ruoli. Puoi assegnare i ruoli predefiniti a Google Cloud livello di progetto o, nella maggior parte dei casi, a qualsiasi tipo superiore nella gerarchia delle risorse.

Per visualizzare un elenco di tutte le singole autorizzazioni contenute in un ruolo, consulta Ottenere i metadati del ruolo.

Ruoli di osservabilità

Role Permissions

(roles/observability.admin)

Full access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.buckets.create
  • observability.buckets.delete
  • observability.buckets.get
  • observability.buckets.list
  • observability.buckets.undelete
  • observability.buckets.update
  • observability.datasets.create
  • observability.datasets.delete
  • observability.datasets.get
  • observability.datasets.list
  • observability.datasets.undelete
  • observability.datasets.update
  • observability.links.create
  • observability.links.delete
  • observability.links.get
  • observability.links.list
  • observability.links.update
  • observability.operations.cancel
  • observability.operations.delete
  • observability.operations.get
  • observability.operations.list
  • observability.scopes.get
  • observability.scopes.update
  • observability.traceScopes.create
  • observability.traceScopes.delete
  • observability.traceScopes.get
  • observability.traceScopes.list
  • observability.traceScopes.update
  • observability.views.access
  • observability.views.create
  • observability.views.delete
  • observability.views.get
  • observability.views.list
  • observability.views.update

(roles/observability.analyticsUser)

Grants permissions to use Cloud Observability Analytics.

logging.queries.getShared

logging.queries.listShared

logging.queries.usePrivate

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.buckets.get

observability.buckets.list

observability.datasets.get

observability.datasets.list

observability.links.get

observability.links.list

observability.operations.get

observability.operations.list

observability.scopes.get

observability.traceScopes.get

observability.traceScopes.list

observability.views.get

observability.views.list

(roles/observability.editor)

Edit access to Observability resources.

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.buckets.create

observability.buckets.get

observability.buckets.list

observability.buckets.update

observability.datasets.create

observability.datasets.get

observability.datasets.list

observability.datasets.update

observability.links.*

  • observability.links.create
  • observability.links.delete
  • observability.links.get
  • observability.links.list
  • observability.links.update

observability.operations.*

  • observability.operations.cancel
  • observability.operations.delete
  • observability.operations.get
  • observability.operations.list

observability.scopes.*

  • observability.scopes.get
  • observability.scopes.update

observability.traceScopes.*

  • observability.traceScopes.create
  • observability.traceScopes.delete
  • observability.traceScopes.get
  • observability.traceScopes.list
  • observability.traceScopes.update

observability.views.create

observability.views.delete

observability.views.get

observability.views.list

observability.views.update

(roles/observability.scopesEditor)

Grants permission to view and edit Observability, Logging, Trace, and Monitoring scopes

logging.logScopes.*

  • logging.logScopes.create
  • logging.logScopes.delete
  • logging.logScopes.get
  • logging.logScopes.list
  • logging.logScopes.update

monitoring.metricsScopes.link

observability.scopes.*

  • observability.scopes.get
  • observability.scopes.update

observability.traceScopes.*

  • observability.traceScopes.create
  • observability.traceScopes.delete
  • observability.traceScopes.get
  • observability.traceScopes.list
  • observability.traceScopes.update

(roles/observability.serviceAgent)

Grants Observability service account the ability to list, create and link datasets in the consumer project.

bigquery.datasets.create

bigquery.datasets.get

bigquery.datasets.link

(roles/observability.viewAccessor)

Read only access to data defined by an Observability View.

observability.views.access

(roles/observability.viewer)

Read only access to Observability resources.

observability.analyticsViews.get

observability.analyticsViews.list

observability.buckets.get

observability.buckets.list

observability.datasets.get

observability.datasets.list

observability.links.get

observability.links.list

observability.operations.get

observability.operations.list

observability.scopes.get

observability.traceScopes.get

observability.traceScopes.list

observability.views.get

observability.views.list

Ruoli dell'API Telemetry

Role Permissions

(roles/telemetry.metricsWriter)

Access to write metrics.

telemetry.metrics.write

(roles/telemetry.serviceLogsWriter)

Allows an onboarded service to write log data to a destination.

telemetry.consumers.writeLogs

(roles/telemetry.serviceMetricsWriter)

Allows an onboarded service to write metrics data to a destination.

telemetry.consumers.writeMetrics

(roles/telemetry.serviceTelemetryWriter)

Allows an onboarded service to write all telemetry data to a destination.

telemetry.consumers.*

  • telemetry.consumers.writeLogs
  • telemetry.consumers.writeMetrics
  • telemetry.consumers.writeTraces

(roles/telemetry.serviceTracesWriter)

Allows an onboarded service to write trace data to a destination.

telemetry.consumers.writeTraces

(roles/telemetry.tracesWriter)

Access to write trace spans.

telemetry.traces.write

(roles/telemetry.writer)

Full access to write all telemetry data.

telemetry.metrics.write

telemetry.traces.write

Passaggi successivi