Mengontrol akses dengan IAM

Google Cloud menawarkan Identity and Access Management (IAM), yang dapat Anda gunakan untuk memberikan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Halaman ini menjelaskan peran IAM untuk Cloud Trace.

Untuk mempelajari cara menetapkan peran IAM ke akun pengguna atau layanan, baca Mengelola akses ke project, folder, dan organisasi.
Untuk mengetahui informasi selengkapnya tentang peran yang telah ditetapkan, lihat IAM: Peran dan izin.
Untuk mendapatkan bantuan dalam memilih peran bawaan yang paling sesuai, lihat Memilih peran bawaan.

Izin dan peran Cloud Trace yang telah ditetapkan

Peran IAM mencakup izin dan dapat ditetapkan ke pengguna, grup, dan akun layanan. Tabel berikut mencantumkan peran bawaan untuk Cloud Trace, dan mencantumkan izin untuk peran tersebut:

Role Permissions

Role	Permissions
Cloud Trace Admin (`roles/cloudtrace.admin`) Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.*` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traceScopes.create` `cloudtrace.traceScopes.delete` `cloudtrace.traceScopes.get` `cloudtrace.traceScopes.list` `cloudtrace.traceScopes.update` `cloudtrace.traces.get` `cloudtrace.traces.list` `cloudtrace.traces.patch` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Cloud Trace Agent (`roles/cloudtrace.agent`) For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role: Project	`cloudtrace.traces.patch`
Cloud Trace User (`roles/cloudtrace.user`) Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.insights.` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traceScopes.*` `cloudtrace.traceScopes.create` `cloudtrace.traceScopes.delete` `cloudtrace.traceScopes.get` `cloudtrace.traceScopes.list` `cloudtrace.traceScopes.update` `cloudtrace.traces.get` `cloudtrace.traces.list` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Cloud Trace Admin

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.*

cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traceScopes.create
cloudtrace.traceScopes.delete
cloudtrace.traceScopes.get
cloudtrace.traceScopes.list
cloudtrace.traceScopes.update
cloudtrace.traces.get
cloudtrace.traces.list
cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Cloud Trace Agent

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

Project

cloudtrace.traces.patch

Cloud Trace User

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.insights.*

cloudtrace.insights.get
cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list

cloudtrace.traceScopes.*

cloudtrace.traceScopes.create
cloudtrace.traceScopes.delete
cloudtrace.traceScopes.get
cloudtrace.traceScopes.list
cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Membuat peran ubahsuaian

Untuk membuat peran khusus yang menyertakan izin Cloud Trace, lakukan hal berikut:

Untuk peran yang memberikan izin hanya untuk Cloud Trace API, pilih izin yang diperlukan oleh metode API.
Untuk peran yang memberikan izin untuk Cloud Trace API dan konsol, pilih grup izin dari salah satu peran Cloud Trace yang telah ditetapkan.
Untuk memberikan kemampuan menulis data trace, sertakan izin dalam peran Cloud Trace Agent (roles/cloudtrace.agent).

Untuk mengetahui informasi selengkapnya tentang peran khusus, buka Membuat dan mengelola peran khusus.

Izin untuk metode API

Untuk mengetahui informasi tentang izin yang diperlukan untuk menjalankan panggilan API, lihat dokumentasi referensi Cloud Trace API:

projects.traces.list / ListTraces
projects.traces.get / GetTrace
projects.patchTraces / PatchTraces
projects.traces.batchWrite / BatchWriteSpans
projects.traces.spans.createSpan / CreateSpan
projects.traceSinks.list / ListTracesSinks
projects.traceSinks.get / GetTraceSink
projects.traceSinks.create / CreateTraceSink
projects.traceSinks.patch / UpdateTraceSink
projects.traceSinks.delete / DeleteTraceSink