Controlar o acesso com o IAM

O Google Cloud oferece o Gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Nesta página, descrevemos os papéis do Cloud IAM para o Cloud Trace.

Permissões e papéis predefinidos do Cloud Trace

Os papéis do IAM incluem permissões e podem ser atribuídos a usuários, grupos e contas de serviço. A tabela a seguir lista os papéis predefinidos para o Cloud Trace e as permissões deles:

Role Permissions

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list
  • cloudtrace.stats.get
  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list
  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.traces.patch

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.insights.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list

cloudtrace.traceScopes.*

  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

criar papéis personalizados

Para criar um papel personalizado que inclua permissões do Cloud Trace, faça o seguinte:

  • Para um papel que concede permissões apenas para a API Cloud Trace, escolha as permissões exigidas pelo método da API.
  • Para um papel que concede permissões para a API e o console do Cloud Trace, escolha grupos de permissões em uma das funções predefinidas do Cloud Trace.
  • Para conceder a capacidade de gravar dados de trace, inclua as permissões no papel Cloud Trace Agent (roles/cloudtrace.agent).

Para mais informações sobre funções personalizadas, acesse Criar e gerenciar funções personalizadas.

Permissões para métodos de API

Para informações sobre as permissões necessárias para executar uma chamada de API, consulte a documentação de referência da API Cloud Trace: