Se usó la API de Cloud Translation para traducir esta página.

Controla el acceso con IAM

Google Cloud ofrece la función de administración de identidades y accesos (IAM), que te permite brindar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen las funciones de IAM para Cloud Trace.

Para aprender a asignar roles de IAM a un usuario o cuenta de servicio, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Para obtener más información sobre los roles predefinidos, consulta IAM: Funciones y permisos
Si necesitas ayuda para elegir los roles predefinidos más adecuados, consulta Elige roles predefinidos.

Permisos y roles predefinidos de Cloud Trace

Las funciones de IAM incluyen permisos y se pueden asignar a usuarios, grupos y cuentas de servicio. En la siguiente tabla, se enumeran los roles predefinidos para Cloud Trace, y enumera los permisos para esos roles:

Role Permissions

Role	Permissions
Cloud Trace Admin (`roles/cloudtrace.admin`) Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.*` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traceScopes.create` `cloudtrace.traceScopes.delete` `cloudtrace.traceScopes.get` `cloudtrace.traceScopes.list` `cloudtrace.traceScopes.update` `cloudtrace.traces.get` `cloudtrace.traces.list` `cloudtrace.traces.patch` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Cloud Trace Agent (`roles/cloudtrace.agent`) For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role: Project	`cloudtrace.traces.patch`
Cloud Trace User (`roles/cloudtrace.user`) Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.insights.` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traceScopes.*` `cloudtrace.traceScopes.create` `cloudtrace.traceScopes.delete` `cloudtrace.traceScopes.get` `cloudtrace.traceScopes.list` `cloudtrace.traceScopes.update` `cloudtrace.traces.get` `cloudtrace.traces.list` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Cloud Trace Admin

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.*

cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traceScopes.create
cloudtrace.traceScopes.delete
cloudtrace.traceScopes.get
cloudtrace.traceScopes.list
cloudtrace.traceScopes.update
cloudtrace.traces.get
cloudtrace.traces.list
cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Cloud Trace Agent

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

Project

cloudtrace.traces.patch

Cloud Trace User

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.insights.*

cloudtrace.insights.get
cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list

cloudtrace.traceScopes.*

cloudtrace.traceScopes.create
cloudtrace.traceScopes.delete
cloudtrace.traceScopes.get
cloudtrace.traceScopes.list
cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Crea roles personalizados

Para crear una función personalizada que incluya permisos de Cloud Trace, realiza los siguientes pasos:

Para una función que otorgue permisos solo a la API de Cloud Trace, elige los permisos que requiere el método de la API.
Para un rol que otorga permisos para la API y la consola de Cloud Trace, elige grupos de permisos de uno de los roles predefinidos de Cloud Trace.
Para otorgar la capacidad de escribir datos de seguimiento, incluye los permisos en el rol de agente de Cloud Trace (roles/cloudtrace.agent).

Para obtener más información sobre los roles personalizados, ve a Crea y administra roles personalizados.

Permisos para métodos de API

Para obtener información sobre los permisos necesarios para ejecutar una llamada a la API, consulta la documentación de referencia de la API de Cloud Trace: