Google Cloud ofrece la función de administración de identidades y accesos (IAM), que te permite brindar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen las funciones de IAM para Cloud Trace.
Para saber cómo asignar las funciones de IAM a usuarios o cuentas de servicio, lee Administra políticas en la documentación de IAM.
Permisos y funciones
En esta sección, se resumen los permisos y las funciones que admite Cloud Trace.
Permisos de la API
En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método en la API de Cloud Trace:
| Método (REST/RPC) | Permisos necesarios | Para el tipo de recurso |
|---|---|---|
projects.traces.list / ListTraces |
cloudtrace.traces.list |
proyecto |
projects.traces.get / GetTrace |
cloudtrace.traces.get |
proyecto |
projects.patchTraces / PatchTraces |
cloudtrace.traces.patch |
proyecto |
projects.traces.batchWrite / BatchWriteSpans |
cloudtrace.traces.patch |
proyecto |
projects.traces.spans.createSpan / CreateSpan |
cloudtrace.traces.patch |
proyecto |
projects.traceSinks.list / ListTracesSinks |
cloudtrace.tracesinks.list |
proyecto |
projects.traceSinks.get / GetTraceSink |
cloudtrace.tracesinks.get |
proyecto |
projects.traceSinks.create / CreateTraceSink |
cloudtrace.tracesinks.create |
proyecto |
projects.traceSinks.patch / UpdateTraceSink |
cloudtrace.tracesinks.update |
proyecto |
projects.traceSinks.delete / DeleteTraceSink |
cloudtrace.tracesinks.delete |
proyecto |
Permisos de Console
En la siguiente tabla, se enumeran los permisos necesarios para usar las páginas de Cloud Trace en Google Cloud Console:
| Actividad | Permisos necesarios |
|---|---|
| Acceso de solo lectura a la consola de Trace. | cloudtrace.insights.getcloudtrace.insights.listcloudtrace.stats.getcloudtrace.tasks.getcloudtrace.tasks.listcloudtrace.traces.getcloudtrace.traces.listresourcemanager.projects.getresourcemanager.projects.list |
| Agregar la capacidad de crear informes de análisis a la consola | Permisos de solo lectura además de:cloudtrace.tasks.create |
| Agregar la capacidad de borrar informes de análisis a la consola | Permisos de solo lectura además de:cloudtrace.tasks.delete |
| Agregar la capacidad de mostrar registros a la consola | Permisos de solo lectura además de:logging.logEntries.list |
| Agregar la capacidad de mostrar los menús de filtro de servicio y versión de App Engine | Permisos de solo lectura además de:appengine.applications.getappengine.services.listappengine.versions.list |
Los permisos cloud.tasks.* se relacionan con la administración de los informes de análisis. Los permisos cloudtrace.insights.* se usan para mostrar estadísticas de seguimiento.
cloudtrace.stats.get permite que Console recupere las URL y los URI más frecuentes del proyecto actual, así como las estadísticas de seguimiento específicas del proyecto.
Roles
Las funciones de IAM incluyen permisos y se pueden asignar a usuarios, grupos y cuentas de servicio. Las siguientes funciones incluyen los permisos enumerados para Cloud Trace:
| Nombre de la función | Permisos de Trace | Descripción |
|---|---|---|
roles/cloudtrace.agentAgente de Cloud Trace |
cloudtrace.traces.patch |
Para cuentas de servicio. Capacidad de escribir seguimientos mediante el envío de los datos a Trace. |
roles/cloudtrace.userUsuario de Cloud Trace |
cloudtrace.insights.getcloudtrace.insights.listcloudtrace.stats.getcloudtrace.tasks.createcloudtrace.tasks.deletecloudtrace.tasks.getcloudtrace.tasks.listcloudtrace.traces.getcloudtrace.traces.listresourcemanager.projects.getresourcemanager.projects.list cloudtrace.tracesinks.listcloudtrace.tracesinks.createcloudtrace.tracesinks.getcloudtrace.tracesinks.updatecloudtrace.tracesinks.delete |
Acceso completo a la consola de Trace, acceso de lectura a los seguimientos y acceso de lectura/escritura a los receptores. |
roles/cloudtrace.adminAdministrador de Cloud Trace |
Permisos de roles/cloudtrace.user, además de:cloudtrace.traces.patch |
Acceso completo a la consola de Trace, acceso de lectura/escritura a los seguimientos y acceso de lectura/escritura a los receptores. |
roles/viewerVisualizador del proyecto |
cloudtrace.insights.getcloudtrace.insights.listcloudtrace.stats.getcloudtrace.tasks.getcloudtrace.tasks.listcloudtrace.traces.getcloudtrace.traces.listresourcemanager.projects.getresourcemanager.projects.list cloudtrace.tracesinks.listcloudtrace.tracesinks.get |
Acceso de lectura a la consola de Trace, los seguimientos y los receptores. |
roles/editorEditor del proyecto |
Permisos de roles/viewer, además de:cloudtrace.tasks.createcloudtrace.tasks.delete |
Acceso de lectura y escritura a la consola de Trace y acceso de lectura a los seguimientos. |
roles/ownerPropietario del proyecto |
Permisos de roles/editor, además de:cloudtrace.traces.patch |
Acceso de lectura y escritura a la consola de Trace y a los seguimientos. |
Funciones personalizadas
Para crear una función personalizada que incluya permisos de Cloud Trace, realiza los siguientes pasos:
- Para que una función otorgue permisos solo a la API de Cloud Trace, elige los permisos en la sección anterior, Permisos de la API.
- Para una función que otorgue permisos a la API y la consola de Cloud Trace, elige los grupos de permisos en la sección anterior, Permisos de la consola.
- Para otorgar la capacidad de escribir datos de seguimiento, incluye los permisos en la función
roles/cloudtrace.agentde la sección Funciones.
Para obtener más información sobre funciones personalizadas, ve a Crea y administra funciones personalizadas.