Controle o acesso com a IAM

Google Cloud oferece gestão de identidade e de acesso (IAM), que lhe permite conceder acesso detalhado a Google Cloud recursos específicos e impede o acesso indesejado a outros recursos. Esta página descreve as funções do IAM para o Cloud Trace.

• Para saber como atribuir funções de IAM a um utilizador ou a uma conta de serviço, leia o artigo Gerir o acesso a projetos, pastas e organizações.
• Para mais informações sobre as funções predefinidas, consulte o artigo IAM: funções e autorizações.
• Para obter ajuda na escolha das funções predefinidas mais adequadas, consulte o artigo Escolha funções predefinidas.

Prática recomendada

Para facilitar a resolução de problemas, recomendamos que todas as pessoas, grupos e domínios que possam precisar de ver dados de rastreio num projeto tenham a função de utilizador do Cloud Trace (roles/cloudtrace.user) nesse projeto. Esta função concede aos responsáveis as autorizações de que precisam para ver os dados de rastreio.

Autorizações e funções predefinidas

As funções de IAM incluem autorizações e podem ser atribuídas a utilizadores, grupos e contas de serviço.

Funções do Cloud Trace

A tabela seguinte indica as funções predefinidas para o Cloud Trace e as autorizações dessas funções:

Role	Permissions
Cloud Trace Admin (roles/cloudtrace.admin) Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role: Project	cloudtrace.* cloudtrace.insights.get cloudtrace.insights.list cloudtrace.stats.get cloudtrace.tasks.create cloudtrace.tasks.delete cloudtrace.tasks.get cloudtrace.tasks.list cloudtrace.traceScopes.create cloudtrace.traceScopes.delete cloudtrace.traceScopes.get cloudtrace.traceScopes.list cloudtrace.traceScopes.update cloudtrace.traces.get cloudtrace.traces.list cloudtrace.traces.patch observability.scopes.get observability.traceScopes.* observability.traceScopes.create observability.traceScopes.delete observability.traceScopes.get observability.traceScopes.list observability.traceScopes.update resourcemanager.projects.get resourcemanager.projects.list telemetry.traces.write
Cloud Trace Agent (roles/cloudtrace.agent) For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role: Project	cloudtrace.traces.patch telemetry.traces.write
Cloud Trace User (roles/cloudtrace.user) Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role: Project	cloudtrace.insights.* cloudtrace.insights.get cloudtrace.insights.list cloudtrace.stats.get cloudtrace.tasks.* cloudtrace.tasks.create cloudtrace.tasks.delete cloudtrace.tasks.get cloudtrace.tasks.list cloudtrace.traceScopes.* cloudtrace.traceScopes.create cloudtrace.traceScopes.delete cloudtrace.traceScopes.get cloudtrace.traceScopes.list cloudtrace.traceScopes.update cloudtrace.traces.get cloudtrace.traces.list observability.scopes.get observability.traceScopes.* observability.traceScopes.create observability.traceScopes.delete observability.traceScopes.get observability.traceScopes.list observability.traceScopes.update resourcemanager.projects.get resourcemanager.projects.list

Funções da API Telemetry

A tabela seguinte apresenta as funções predefinidas para a API Telemetry (OTLP) e as autorizações para essas funções:

Role	Permissions
Cloud Telemetry Metrics Writer (roles/telemetry.metricsWriter) Access to write metrics.	telemetry.metrics.write
Integrated Service Telemetry Logs Writer Beta (roles/telemetry.serviceLogsWriter) Allows an onboarded service to write log data to a destination.	telemetry.consumers.writeLogs
Integrated Service Telemetry Metrics Writer Beta (roles/telemetry.serviceMetricsWriter) Allows an onboarded service to write metrics data to a destination.	telemetry.consumers.writeMetrics
Integrated Service Telemetry Writer Beta (roles/telemetry.serviceTelemetryWriter) Allows an onboarded service to write all telemetry data to a destination.	telemetry.consumers.* telemetry.consumers.writeLogs telemetry.consumers.writeMetrics telemetry.consumers.writeTraces
Integrated Service Telemetry Traces Writer Beta (roles/telemetry.serviceTracesWriter) Allows an onboarded service to write trace data to a destination.	telemetry.consumers.writeTraces
Cloud Telemetry Traces Writer (roles/telemetry.tracesWriter) Access to write trace spans.	telemetry.traces.write
Cloud Telemetry Writer (roles/telemetry.writer) Full access to write all telemetry data.	telemetry.metrics.write telemetry.traces.write

Criar funções personalizadas

Para criar uma função personalizada que inclua autorizações do Cloud Trace, faça o seguinte:

• Para uma função que conceda autorizações apenas para a API Cloud Trace, escolha as autorizações necessárias para o método da API.
• Para uma função que conceda autorizações para a API Cloud Trace e a consola, escolha grupos de autorizações de uma das funções predefinidas do Cloud Trace.
• Para conceder a capacidade de escrever dados de rastreio, inclua as autorizações na função Agente do Cloud Trace (roles/cloudtrace.agent).

Para mais informações sobre funções personalizadas, aceda a Crie e faça a gestão de funções personalizadas.

Autorizações para métodos de API

Para obter informações sobre as autorizações necessárias para executar uma chamada à API, consulte a documentação de referência da API Cloud Trace:

• Documentação da API REST v1
• Documentação da REST v2
• Documentação da RPC