Contrôler les accès avec IAM

Google Cloud offre Identity and Access Management (IAM), qui vous permet de définir de manière précise l'accès à des ressources Google Cloud spécifiques et d'empêcher tout accès indésirable à d'autres ressources. Cette page décrit les rôles IAM pour Cloud Trace.

Autorisations et rôles Cloud Trace prédéfinis

Les rôles IAM sont associés à des autorisations. Ils peuvent être attribués aux utilisateurs, aux groupes et aux comptes de service. Le tableau suivant répertorie les rôles prédéfinis pour Cloud Trace, ainsi que les autorisations associées:

Role Permissions

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list
  • cloudtrace.stats.get
  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list
  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.traces.patch

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.insights.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list

cloudtrace.traceScopes.*

  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Créer des rôles personnalisés

Pour créer un rôle personnalisé incluant des autorisations Cloud Trace, procédez comme suit :

  • Pour un rôle accordant des autorisations uniquement pour l'API Cloud Trace, choisissez les autorisations requises par la méthode de l'API.
  • Pour un rôle accordant des autorisations pour l'API et la console Cloud Trace, choisissez des groupes d'autorisations parmi l'un des rôles Cloud Trace prédéfinis.
  • Pour accorder des autorisations d'écriture des données de trace, associez les autorisations du rôle Agent Cloud Trace (roles/cloudtrace.agent).

Pour en savoir plus sur les rôles personnalisés, consultez la page Créer et gérer les rôles personnalisés.

Autorisations pour les méthodes API

Pour en savoir plus sur les autorisations requises pour exécuter un appel d'API, consultez la documentation de référence de l'API Cloud Trace: