Controla el acceso con IAM

Google Cloud ofrece la función de administración de identidades y accesos (IAM), que te permite brindar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen las funciones de IAM para Cloud Trace.

Para aprender a asignar roles de IAM a un usuario o cuenta de servicio, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Para obtener más información sobre las funciones predefinidas, consulta IAM: Funciones y permisos.
Si quieres obtener ayuda para elegir las funciones predefinidas más adecuadas, consulta Elige funciones predefinidas.

Permisos y roles predefinidos de Cloud Trace

Las funciones de IAM incluyen permisos y se pueden asignar a usuarios, grupos y cuentas de servicio. En la siguiente tabla, se enumeran las funciones predefinidas de Cloud Trace y los permisos para cada una:

Role Permissions

Role	Permissions
Cloud Trace Admin (`roles/cloudtrace.admin`) Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.*` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traces.get` `cloudtrace.traces.list` `cloudtrace.traces.patch` `resourcemanager.projects.get` `resourcemanager.projects.list`
Cloud Trace Agent (`roles/cloudtrace.agent`) For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role: Project	`cloudtrace.traces.patch`
Cloud Trace User (`roles/cloudtrace.user`) Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.insights.` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traces.get` `cloudtrace.traces.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Cloud Trace Admin

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.*

cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
cloudtrace.traces.patch

resourcemanager.projects.get

resourcemanager.projects.list

Cloud Trace Agent

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

Project

cloudtrace.traces.patch

Cloud Trace User

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.insights.*

cloudtrace.insights.get
cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list

cloudtrace.traces.get

cloudtrace.traces.list

resourcemanager.projects.get

resourcemanager.projects.list

Crea roles personalizados

Para crear una función personalizada que incluya permisos de Cloud Trace, realiza los siguientes pasos:

Para una función que otorgue permisos solo a la API de Cloud Trace, selecciona los permisos que requiere el método de la API.
Para una función que otorgue permisos para la API y la consola de Cloud Trace, elige los grupos de permisos de una de las funciones predefinidas de Cloud Trace.
Para otorgar la capacidad de escribir datos de seguimiento, incluye los permisos en la función de Agente de Cloud Trace (roles/cloudtrace.agent).

Para obtener más información sobre las funciones personalizadas, consulta Crea y administra funciones personalizadas.

Permisos para los métodos de la API

Si deseas obtener información sobre los permisos necesarios para ejecutar una llamada a la API, consulta la documentación de referencia de la API de Cloud Trace:

projects.traces.list / ListTraces
projects.traces.get / GetTrace
projects.patchTraces / PatchTraces
projects.traces.batchWrite / BatchWriteSpans
projects.traces.spans.createSpan / CreateSpan
projects.traceSinks.list / ListTracesSinks
projects.traceSinks.get / GetTraceSink
projects.traceSinks.create / CreateTraceSink
projects.traceSinks.patch / UpdateTraceSink
projects.traceSinks.delete / DeleteTraceSink