Controla el acceso con IAM

Google Cloud ofrece la función de administración de identidades y accesos (IAM), que te permite brindar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen las funciones de IAM para Cloud Trace.

Permisos y roles predefinidos de Cloud Trace

Las funciones de IAM incluyen permisos y se pueden asignar a usuarios, grupos y cuentas de servicio. En la siguiente tabla, se enumeran los roles predefinidos para Cloud Trace, y enumera los permisos para esos roles:

Role Permissions

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list
  • cloudtrace.stats.get
  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list
  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.traces.patch

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.insights.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list

cloudtrace.traceScopes.*

  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Crea roles personalizados

Para crear una función personalizada que incluya permisos de Cloud Trace, realiza los siguientes pasos:

  • Para una función que otorgue permisos solo a la API de Cloud Trace, elige los permisos que requiere el método de la API.
  • Para un rol que otorga permisos para la API y la consola de Cloud Trace, elige grupos de permisos de uno de los roles predefinidos de Cloud Trace.
  • Para otorgar la capacidad de escribir datos de seguimiento, incluye los permisos en el rol de agente de Cloud Trace (roles/cloudtrace.agent).

Para obtener más información sobre los roles personalizados, ve a Crea y administra roles personalizados.

Permisos para métodos de API

Para obtener información sobre los permisos necesarios para ejecutar una llamada a la API, consulta la documentación de referencia de la API de Cloud Trace: