Control de acceso

Google Cloud ofrece la función de administración de identidades y accesos (IAM), que te permite brindar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen las funciones de IAM para Cloud Trace.

Para saber cómo asignar las funciones de IAM a usuarios o cuentas de servicio, lee Administra políticas en la documentación de IAM.

Permisos y funciones

En esta sección, se resumen los permisos y las funciones que admite Cloud Trace.

Permisos de la API

En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método en la API de Cloud Trace:

Método (REST/RPC) Permisos necesarios Para el tipo de recurso
projects.traces.list / ListTraces cloudtrace.traces.list proyecto
projects.traces.get / GetTrace cloudtrace.traces.get proyecto
projects.patchTraces / PatchTraces cloudtrace.traces.patch proyecto
projects.traces.batchWrite / BatchWriteSpans cloudtrace.traces.patch proyecto
projects.traces.spans.createSpan / CreateSpan cloudtrace.traces.patch proyecto
projects.traceSinks.list / ListTracesSinks cloudtrace.tracesinks.list proyecto
projects.traceSinks.get / GetTraceSink cloudtrace.tracesinks.get proyecto
projects.traceSinks.create / CreateTraceSink cloudtrace.tracesinks.create proyecto
projects.traceSinks.patch / UpdateTraceSink cloudtrace.tracesinks.update proyecto
projects.traceSinks.delete / DeleteTraceSink cloudtrace.tracesinks.delete proyecto

Permisos de Console

En la siguiente tabla, se enumeran los permisos necesarios para usar las páginas de Cloud Trace en Cloud Console:

Actividad Permisos necesarios
Acceso de solo lectura a la consola de Trace. cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Agregar la capacidad de crear informes de análisis a la consola Permisos de solo lectura más:
cloudtrace.tasks.create
Agregar la capacidad de borrar informes de análisis a la consola Permisos de solo lectura más:
cloudtrace.tasks.delete
Agregar la capacidad de mostrar registros a la consola Permisos de solo lectura más:
logging.logEntries.list
Agregar la capacidad de mostrar los menús de filtro de servicio y versión de App Engine Permisos de solo lectura más:
appengine.applications.get
appengine.services.list
appengine.versions.list

Los permisos cloud.tasks.* corresponden a la administración de informes de análisis. Los permisos cloudtrace.insights.* se usan para mostrar las estadísticas de seguimiento. cloudtrace.stats.get permite que la consola recupere los URI y las URL más frecuentes del proyecto actual, así como las estadísticas de seguimiento específicas del proyecto.

Funciones

Las funciones de IAM incluyen permisos y se pueden asignar a usuarios, grupos y cuentas de servicio. Las siguientes funciones incluyen los permisos enumerados para Cloud Trace:

Nombre de la función Permisos de Trace Descripción
roles/cloudtrace.agent
Agente de Cloud Trace
cloudtrace.traces.patch Para cuentas de servicio. Capacidad de escribir seguimientos mediante el envío de los datos a Trace.
roles/cloudtrace.user
Usuario de Cloud Trace
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
cloudtrace.tracesinks.list
cloudtrace.tracesinks.create
cloudtrace.tracesinks.get
cloudtrace.tracesinks.update
cloudtrace.tracesinks.delete
Acceso completo a la consola de Trace, acceso de lectura a los seguimientos
y acceso de lectura/escritura a los receptores.
roles/cloudtrace.admin
Administrador de Cloud Trace
Permisos de roles/cloudtrace.user, más:
cloudtrace.traces.patch
Acceso completo a la consola de Trace, acceso de lectura/escritura a los seguimientos
y acceso de lectura/escritura a los receptores.
roles/viewer
Visualizador del proyecto
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
cloudtrace.tracesinks.list
cloudtrace.tracesinks.get
Acceso de lectura a la consola de Trace, los seguimientos y los receptores.
roles/editor
Editor del proyecto
Permisos de roles/viewer, más:
cloudtrace.tasks.create
cloudtrace.tasks.delete
Acceso de lectura y escritura a la consola de Trace y acceso de lectura a los seguimientos.
roles/owner
Propietario del proyecto
Permisos de roles/editor, más:
cloudtrace.traces.patch
Acceso de lectura y escritura a la consola de Trace y a los seguimientos.

Funciones personalizadas

Para crear una función personalizada que incluya permisos de Cloud Trace, realiza los siguientes pasos:

  • Para que una función otorgue permisos solo a la API de Cloud Trace, elige los permisos en la sección anterior, Permisos de la API.
  • Para una función que otorgue permisos a la API y la consola de Cloud Trace, elige los grupos de permisos en la sección anterior, Permisos de la consola.
  • Para otorgar la capacidad de escribir datos de seguimiento, incluye los permisos en la función roles/cloudtrace.agent en la sección Funciones.

Para obtener más información sobre funciones personalizadas, ve a Crea y administra funciones personalizadas.