Zugriff mit IAM steuern

Google Cloud bietet Identitäts- und Zugriffsverwaltung (IAM), mit dem sich der Zugriff auf einzelne Google Cloud-Ressourcen präzise steuern und unerwünschter Zugriff auf andere Ressourcen verhindern lässt. Auf dieser Seite werden die IAM-Rollen für Cloud Trace beschrieben.

Berechtigungen und vordefinierte Cloud Trace-Rollen

IAM-Rollen enthalten Berechtigungen und können Nutzern, Gruppen und Dienstkonten zugewiesen werden. In der folgenden Tabelle sind die vordefinierten Rollen für Cloud Trace und die zugehörigen Berechtigungen aufgeführt:

Role Permissions

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list
  • cloudtrace.stats.get
  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list
  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.traces.patch

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.insights.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list

cloudtrace.traceScopes.*

  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Benutzerdefinierte Rollen erstellen

So erstellen Sie eine benutzerdefinierte Rolle, die Cloud Trace-Berechtigungen enthält:

  • Wählen Sie für eine Rolle, die nur Berechtigungen für die Cloud Trace API gewähren soll, die für die API-Methode erforderlichen Berechtigungen aus.
  • Wählen Sie für eine Rolle, die Berechtigungen für die Cloud Trace API und die Konsole gewährt, Berechtigungsgruppen aus einer der vordefinierten Cloud Trace-Rollen aus.
  • Wenn Sie die Berechtigung zum Schreiben von Trace-Daten gewähren möchten, fügen Sie die Berechtigungen der Rolle „Cloud Trace Agent“ (roles/cloudtrace.agent) hinzu.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Berechtigungen für API-Methoden

Informationen zu den Berechtigungen, die für die Ausführung eines API-Aufrufs erforderlich sind, finden Sie in der Referenzdokumentation zur Cloud Trace API: