Mengontrol akses dengan IAM

Google Cloud menawarkan Identity and Access Management (IAM), yang dapat Anda gunakan untuk memberikan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Halaman ini menjelaskan peran IAM untuk Cloud Trace.

Izin dan peran Cloud Trace yang telah ditetapkan

Peran IAM mencakup izin dan dapat ditetapkan ke pengguna, grup, dan akun layanan. Tabel berikut mencantumkan peran bawaan untuk Cloud Trace, dan mencantumkan izin untuk peran tersebut:

Role Permissions

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list
  • cloudtrace.stats.get
  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list
  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.traces.patch

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.insights.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list

cloudtrace.traceScopes.*

  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Membuat peran ubahsuaian

Untuk membuat peran khusus yang menyertakan izin Cloud Trace, lakukan hal berikut:

  • Untuk peran yang memberikan izin hanya untuk Cloud Trace API, pilih izin yang diperlukan oleh metode API.
  • Untuk peran yang memberikan izin untuk Cloud Trace API dan konsol, pilih grup izin dari salah satu peran Cloud Trace yang telah ditetapkan.
  • Untuk memberikan kemampuan menulis data trace, sertakan izin dalam peran Cloud Trace Agent (roles/cloudtrace.agent).

Untuk mengetahui informasi selengkapnya tentang peran khusus, buka Membuat dan mengelola peran khusus.

Izin untuk metode API

Untuk mengetahui informasi tentang izin yang diperlukan untuk menjalankan panggilan API, lihat dokumentasi referensi Cloud Trace API: