Cette page a été traduite par l'API Cloud Translation.

Contrôler les accès avec IAM

Google Cloud offre Identity and Access Management (IAM), qui vous permet de définir de manière précise l'accès à des ressources Google Cloud spécifiques et d'empêcher tout accès indésirable à d'autres ressources. Cette page décrit les rôles IAM pour Cloud Trace.

Pour savoir comment attribuer des rôles IAM à un compte utilisateur ou de service, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Pour en savoir plus sur les rôles prédéfinis, consultez la page IAM : rôles et autorisations.
Pour obtenir de l'aide sur le choix des rôles prédéfinis les plus appropriés, consultez la section Choisir des rôles prédéfinis.

Autorisations et rôles Cloud Trace prédéfinis

Les rôles IAM sont associés à des autorisations. Ils peuvent être attribués aux utilisateurs, aux groupes et aux comptes de service. Le tableau suivant répertorie les rôles prédéfinis pour Cloud Trace, et répertorie les autorisations associées à ces rôles:

Role Permissions

Role	Permissions
Cloud Trace Admin (`roles/cloudtrace.admin`) Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.*` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traceScopes.create` `cloudtrace.traceScopes.delete` `cloudtrace.traceScopes.get` `cloudtrace.traceScopes.list` `cloudtrace.traceScopes.update` `cloudtrace.traces.get` `cloudtrace.traces.list` `cloudtrace.traces.patch` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Cloud Trace Agent (`roles/cloudtrace.agent`) For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role: Project	`cloudtrace.traces.patch`
Cloud Trace User (`roles/cloudtrace.user`) Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.insights.` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traceScopes.*` `cloudtrace.traceScopes.create` `cloudtrace.traceScopes.delete` `cloudtrace.traceScopes.get` `cloudtrace.traceScopes.list` `cloudtrace.traceScopes.update` `cloudtrace.traces.get` `cloudtrace.traces.list` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Cloud Trace Admin

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.*

cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traceScopes.create
cloudtrace.traceScopes.delete
cloudtrace.traceScopes.get
cloudtrace.traceScopes.list
cloudtrace.traceScopes.update
cloudtrace.traces.get
cloudtrace.traces.list
cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Cloud Trace Agent

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

Project

cloudtrace.traces.patch

Cloud Trace User

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.insights.*

cloudtrace.insights.get
cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list

cloudtrace.traceScopes.*

cloudtrace.traceScopes.create
cloudtrace.traceScopes.delete
cloudtrace.traceScopes.get
cloudtrace.traceScopes.list
cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Créer des rôles personnalisés

Pour créer un rôle personnalisé incluant des autorisations Cloud Trace, procédez comme suit :

Pour un rôle accordant des autorisations uniquement pour l'API Cloud Trace, choisissez les autorisations requises par la méthode API.
Pour un rôle accordant des autorisations pour l'API et la console Cloud Trace, choisissez des groupes d'autorisations parmi l'un des rôles Cloud Trace prédéfinis.
Pour accorder la possibilité d'écrire des données de trace, incluez la ou les autorisations dans Le rôle Agent Cloud Trace (roles/cloudtrace.agent).

Pour en savoir plus sur les rôles personnalisés, consultez Créer et gérer des rôles personnalisés

Autorisations pour les méthodes API

Pour en savoir plus sur les autorisations requises pour exécuter un appel d'API, consultez la documentation de référence de l'API Cloud Trace: