Zugriff mit IAM steuern

Google Cloud bietet Identity and Access Management (IAM). Sie können damit bestimmten Google Cloud Ressourcen detaillierte Zugriffsrechte zuweisen und unerwünschten Zugriff auf andere Ressourcen verhindern. Auf dieser Seite werden die IAM-Rollen für Cloud Trace beschrieben.

Best Practice

Zur Fehlerbehebung empfehlen wir, allen Personen, Gruppen und Domains, die möglicherweise Trace-Daten in einem Projekt aufrufen müssen, die Rolle Cloud Trace-Nutzer (roles/cloudtrace.user) für dieses Projekt zuzuweisen. Diese Rolle gewährt Berechtigungen zum Aufrufen von Trace-Daten.

Berechtigungen und vordefinierte Cloud Trace-Rollen

IAM-Rollen enthalten Berechtigungen und können Nutzern, Gruppen und Dienstkonten zugewiesen werden. In der folgenden Tabelle sind die vordefinierten Rollen für Cloud Trace und die zugehörigen Berechtigungen aufgeführt:

Role Permissions

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list
  • cloudtrace.stats.get
  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list
  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

telemetry.traces.write

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.traces.patch

telemetry.traces.write

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.insights.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list

cloudtrace.traceScopes.*

  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Benutzerdefinierte Rollen erstellen

So erstellen Sie eine benutzerdefinierte Rolle, die Cloud Trace-Berechtigungen enthält:

  • Wählen Sie für eine Rolle, die nur Berechtigungen für die Cloud Trace API gewähren soll, die für die API-Methode erforderlichen Berechtigungen aus.
  • Wählen Sie für eine Rolle, die Berechtigungen für die Cloud Trace API und die Konsole gewährt, Berechtigungsgruppen aus einer der vordefinierten Cloud Trace-Rollen aus.
  • Wenn Sie die Berechtigung zum Schreiben von Trace-Daten gewähren möchten, fügen Sie die Berechtigungen der Rolle „Cloud Trace Agent“ (roles/cloudtrace.agent) hinzu.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Berechtigungen für API-Methoden

Informationen zu den Berechtigungen, die für die Ausführung eines API-Aufrufs erforderlich sind, finden Sie in der Referenzdokumentation zur Cloud Trace API: