Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriff mit IAM steuern

Google Cloud bietet Identity and Access Management (IAM). Sie können damit bestimmten Google Cloud Ressourcen detaillierte Zugriffsrechte zuweisen und unerwünschten Zugriff auf andere Ressourcen verhindern. Auf dieser Seite werden die IAM-Rollen für Cloud Trace beschrieben.

Informationen zum Zuweisen von IAM-Rollen zu einem Nutzer oder Dienstkonto finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Weitere Informationen zu vordefinierten Rollen finden Sie unter IAM: Rollen und Berechtigungen.
Informationen zur Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.

Best Practice

Zur Fehlerbehebung empfehlen wir, allen Personen, Gruppen und Domains, die möglicherweise Trace-Daten in einem Projekt aufrufen müssen, die Rolle Cloud Trace-Nutzer (roles/cloudtrace.user) für dieses Projekt zuzuweisen. Diese Rolle gewährt Berechtigungen zum Aufrufen von Trace-Daten.

Berechtigungen und vordefinierte Cloud Trace-Rollen

IAM-Rollen enthalten Berechtigungen und können Nutzern, Gruppen und Dienstkonten zugewiesen werden. In der folgenden Tabelle sind die vordefinierten Rollen für Cloud Trace und die zugehörigen Berechtigungen aufgeführt:

Role Permissions

Role	Permissions
Cloud Trace Admin (`roles/cloudtrace.admin`) Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.*` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traceScopes.create` `cloudtrace.traceScopes.delete` `cloudtrace.traceScopes.get` `cloudtrace.traceScopes.list` `cloudtrace.traceScopes.update` `cloudtrace.traces.get` `cloudtrace.traces.list` `cloudtrace.traces.patch` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `telemetry.traces.write`
Cloud Trace Agent (`roles/cloudtrace.agent`) For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role: Project	`cloudtrace.traces.patch` `telemetry.traces.write`
Cloud Trace User (`roles/cloudtrace.user`) Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.insights.` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traceScopes.*` `cloudtrace.traceScopes.create` `cloudtrace.traceScopes.delete` `cloudtrace.traceScopes.get` `cloudtrace.traceScopes.list` `cloudtrace.traceScopes.update` `cloudtrace.traces.get` `cloudtrace.traces.list` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Cloud Trace Admin

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.*

cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traceScopes.create
cloudtrace.traceScopes.delete
cloudtrace.traceScopes.get
cloudtrace.traceScopes.list
cloudtrace.traceScopes.update
cloudtrace.traces.get
cloudtrace.traces.list
cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

telemetry.traces.write

Cloud Trace Agent

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

Project

cloudtrace.traces.patch

telemetry.traces.write

Cloud Trace User

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.insights.*

cloudtrace.insights.get
cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list

cloudtrace.traceScopes.*

cloudtrace.traceScopes.create
cloudtrace.traceScopes.delete
cloudtrace.traceScopes.get
cloudtrace.traceScopes.list
cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Benutzerdefinierte Rollen erstellen

So erstellen Sie eine benutzerdefinierte Rolle, die Cloud Trace-Berechtigungen enthält:

Wählen Sie für eine Rolle, die nur Berechtigungen für die Cloud Trace API gewähren soll, die für die API-Methode erforderlichen Berechtigungen aus.
Wählen Sie für eine Rolle, die Berechtigungen für die Cloud Trace API und die Konsole gewährt, Berechtigungsgruppen aus einer der vordefinierten Cloud Trace-Rollen aus.
Wenn Sie die Berechtigung zum Schreiben von Trace-Daten gewähren möchten, fügen Sie die Berechtigungen der Rolle „Cloud Trace Agent“ (roles/cloudtrace.agent) hinzu.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Berechtigungen für API-Methoden

Informationen zu den Berechtigungen, die für die Ausführung eines API-Aufrufs erforderlich sind, finden Sie in der Referenzdokumentation zur Cloud Trace API: