Zugriffsteuerung

Google Cloud bietet Identitäts- und Zugriffsverwaltung (IAM), mit dem sich der Zugriff auf einzelne Google Cloud-Ressourcen präzise steuern und unerwünschter Zugriff auf andere Ressourcen verhindern lässt. Auf dieser Seite werden die IAM-Rollen für Cloud Trace beschrieben.

Informationen darüber, wie Sie einem Nutzer oder einem Dienstkonto IAM-Rollen zuweisen, finden Sie unter Richtlinien verwalten in der IAM-Dokumentation.

Berechtigungen und Rollen

In diesem Abschnitt werden die Berechtigungen und Rollen zusammengefasst, die Cloud Trace unterstützt.

API-Berechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer zum Aufrufen der einzelnen Methoden in der Cloud Trace API benötigt:

Methode (REST/RPC) Erforderliche Berechtigungen Für Ressourcentyp
projects.traces.list / ListTraces cloudtrace.traces.list Projekt
projects.traces.get / GetTrace cloudtrace.traces.get Projekt
projects.patchTraces / PatchTraces cloudtrace.traces.patch Projekt
projects.traces.batchWrite / BatchWriteSpans cloudtrace.traces.patch Projekt
projects.traces.spans.createSpan / CreateSpan cloudtrace.traces.patch Projekt
projects.traceSinks.list / ListTracesSinks cloudtrace.tracesinks.list Projekt
projects.traceSinks.get / GetTraceSink cloudtrace.tracesinks.get Projekt
projects.traceSinks.create / CreateTraceSink cloudtrace.tracesinks.create Projekt
projects.traceSinks.patch / UpdateTraceSink cloudtrace.tracesinks.update Projekt
projects.traceSinks.delete / DeleteTraceSink cloudtrace.tracesinks.delete Projekt

Konsolenberechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die für die Verwendung der Cloud Trace-Seiten in der Cloud Console erforderlich sind:

Activity Erforderliche Berechtigungen
Reiner Lesezugriff auf die Trace-Konsole cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Möglichkeit zum Erstellen von Analyseberichten in der Konsole hinzufügen Leseberechtigungen sowie:
cloudtrace.tasks.create
Möglichkeit zum Löschen von Analyseberichten in der Konsole hinzufügen Leseberechtigungen sowie:
cloudtrace.tasks.delete
Möglichkeit zum Anzeigen von Logs in der Konsole hinzufügen Leseberechtigungen sowie:
logging.logEntries.list
Möglichkeit zum Anzeigen der App Engine-Dienst- und Versionsfiltermenüs hinzufügen Leseberechtigungen sowie:
appengine.applications.get
appengine.services.list
appengine.versions.list

Die cloud.tasks.*-Berechtigungen betreffen die Verwaltung von Analyseberichten. cloudtrace.insights.*-Berechtigungen werden zum Anzeigen von Trace-Statistiken verwendet. Mit cloudtrace.stats.get kann die Konsole die häufigsten URIs und URLs des aktuellen Projekts sowie projektspezifische Trace-Statistiken abrufen.

Rollen

IAM-Rollen enthalten Berechtigungen und können Nutzern, Gruppen und Dienstkonten zugewiesen werden. Die folgenden Rollen enthalten die aufgelisteten Berechtigungen für Cloud Trace:

Rollenname Trace-Berechtigungen Beschreibung
roles/cloudtrace.agent
Cloud Trace-Agent
cloudtrace.traces.patch Für Dienstkonten. Möglichkeit zum Erstellen von Traces durch Senden der Daten an Stackdriver Trace.
roles/cloudtrace.user
Cloud Trace-Nutzer
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
cloudtrace.tracesinks.list
cloudtrace.tracesinks.create
cloudtrace.tracesinks.get
cloudtrace.tracesinks.update
cloudtrace.tracesinks.delete
Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces,
und Lese-/Schreibzugriff auf Senken.
roles/cloudtrace.admin
Cloud Trace-Administrator
Berechtigungen in roles/cloudtrace.user, plus:
cloudtrace.traces.patch
Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces,
und Lese-/Schreibzugriff auf Senken.
roles/viewer
Projektbetrachter
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
cloudtrace.tracesinks.list
cloudtrace.tracesinks.get
Lesezugriff auf die Trace-Konsole, Traces und Senken.
roles/editor
Projektbearbeiter
Berechtigungen von roles/viewer, plus
cloudtrace.tasks.create
cloudtrace.tasks.delete
Lese- und Schreibzugriff auf die Trace-Konsole und Lesezugriff auf Traces
roles/owner
Projektinhaber
Berechtigungen von roles/editor, plus
cloudtrace.traces.patch
Lese- und Schreibzugriff auf die Trace-Konsole und Traces

Benutzerdefinierte Rollen

So erstellen Sie eine benutzerdefinierte Rolle, die Cloud Trace-Berechtigungen enthält:

  • Wählen Sie für eine Rolle, die nur Berechtigungen für die Cloud Trace API gewähren soll, aus den im vorherigen Abschnitt API-Berechtigungen aufgeführten Berechtigungen aus.
  • Wählen Sie für eine Rolle, die Berechtigungen für die Cloud Trace API und die Konsole gewährt, im vorherigen Abschnitt Konsolenberechtigungenaus aus.
  • Wenn Sie die Berechtigung zum Schreiben von Trace-Daten gewähren möchten, fügen Sie die Berechtigungen in die Rolle roles/cloudtrace.agent im Abschnitt Rollen ein.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.