Google Cloud bietet Identity and Access Management (IAM). Sie können damit bestimmten Google Cloud Ressourcen detaillierte Zugriffsrechte zuweisen und unerwünschten Zugriff auf andere Ressourcen verhindern. Auf dieser Seite werden die IAM-Rollen für Cloud Trace beschrieben.
- Informationen zum Zuweisen von IAM-Rollen zu einem Nutzer oder Dienstkonto finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
- Weitere Informationen zu vordefinierten Rollen finden Sie unter IAM: Rollen und Berechtigungen.
- Informationen zur Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.
Best Practice
Zur Fehlerbehebung empfehlen wir, allen Personen, Gruppen und Domains, die möglicherweise Trace-Daten in einem Projekt aufrufen müssen, die Rolle Cloud Trace-Nutzer (roles/cloudtrace.user
) für dieses Projekt zuzuweisen. Diese Rolle gewährt Berechtigungen zum Aufrufen von Trace-Daten.
Berechtigungen und vordefinierte Cloud Trace-Rollen
IAM-Rollen enthalten Berechtigungen und können Nutzern, Gruppen und Dienstkonten zugewiesen werden. In der folgenden Tabelle sind die vordefinierten Rollen für Cloud Trace und die zugehörigen Berechtigungen aufgeführt:
Role | Permissions |
---|---|
Cloud Trace Admin( Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role:
|
|
Cloud Trace Agent( For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role:
|
|
Cloud Trace User( Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role:
|
|
Benutzerdefinierte Rollen erstellen
So erstellen Sie eine benutzerdefinierte Rolle, die Cloud Trace-Berechtigungen enthält:
- Wählen Sie für eine Rolle, die nur Berechtigungen für die Cloud Trace API gewähren soll, die für die API-Methode erforderlichen Berechtigungen aus.
- Wählen Sie für eine Rolle, die Berechtigungen für die Cloud Trace API und die Konsole gewährt, Berechtigungsgruppen aus einer der vordefinierten Cloud Trace-Rollen aus.
- Wenn Sie die Berechtigung zum Schreiben von Trace-Daten gewähren möchten, fügen Sie die Berechtigungen der Rolle „Cloud Trace Agent“ (
roles/cloudtrace.agent
) hinzu.
Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Berechtigungen für API-Methoden
Informationen zu den Berechtigungen, die für die Ausführung eines API-Aufrufs erforderlich sind, finden Sie in der Referenzdokumentation zur Cloud Trace API: