Contrôle des accès

Google Cloud Platform propose Cloud Identity and Access Management (Cloud IAM), qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud Platform et empêche tout accès non souhaité à d'autres ressources. Cette page décrit les rôles Cloud IAM associés à Stackdriver Trace.

Pour savoir comment attribuer des rôles Cloud IAM à un utilisateur ou un compte de service, consultez la page Gérer les stratégies dans la documentation Cloud IAM.

Autorisations et rôles

Cette section récapitule les autorisations et les rôles associés à Stackdriver Trace.

Autorisations des API

Le tableau suivant répertorie les autorisations que l'appelant doit détenir pour appeler chaque méthode dans l'API Stackdriver Trace, cloudtrace.googleapis.com/v1 :

Méthode (REST/RPC) Autorisation(s) requise(s) Type de ressource concerné
projects.traces.list / ListTracesRequest cloudtrace.traces.list projet
projects.traces.get / GetTraceRequest cloudtrace.traces.get projet
projects.patchTraces / PatchTracesRequest cloudtrace.traces.patch projet

Autorisations de la console

Le tableau suivant répertorie les autorisations requises pour utiliser les pages Stackdriver Trace dans la console GCP :

Activité Autorisations requises
Accès en lecture seule à la console Trace cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Possibilité de créer des rapports d'analyse dans la console Autorisations en lecture seule plus :
cloudtrace.tasks.create
Possibilité de supprimer des rapports d'analyse dans la console Autorisations en lecture seule plus :
cloudtrace.tasks.delete
Possibilité d'afficher les journaux dans la console Autorisations en lecture seule plus :
logging.logEntries.list
Possibilité d'afficher les menus du service App Engine et du filtre de versions Autorisations en lecture seule plus :
appengine.applications.get
appengine.services.list
appengine.versions.list

Rôles

Les rôles Cloud IAM sont associés à des autorisations. Ils peuvent être attribués aux utilisateurs, aux groupes et aux comptes de service. Les rôles suivants sont associés aux autorisations répertoriées pour Stackdriver Trace :

Nom de rôle Autorisations de Trace Description
roles/cloudtrace.agent
Agent Cloud Trace
cloudtrace.traces.patch Pour les comptes de service. Possibilité d'écrire des traces en envoyant les données à Trace.
roles/cloudtrace.user
Utilisateur Cloud Trace
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Accès complet à la console Trace, et accès en lecture aux traces.
roles/cloudtrace.admin
Administrateur Cloud Trace
Autorisations de roles/cloudtrace.user plus :
cloudtrace.traces.patch
Accès complet à la console Trace, et accès en lecture et en écriture aux traces.
roles/viewer
Lecteur de projets
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Accès en lecture à la console Trace et aux traces.
roles/editor
Éditeur de projet
Autorisations de roles/viewer plus :
cloudtrace.tasks.create
cloudtrace.tasks.delete
Accès en lecture et en écriture à la console Trace, et accès en lecture aux traces.
roles/owner
Propriétaire du projet
Autorisations de roles/editor plus :
cloudtrace.traces.patch
Accès en lecture et en écriture à la console Trace et aux traces.

Rôles personnalisés

Pour créer un rôle personnalisé qui incorpore des autorisations Stackdriver Trace, procédez comme suit :

  • Rôle accordant des autorisations uniquement pour l'API Stackdriver Trace : choisissez parmi les autorisations figurant dans la section Autorisations des API plus haut.
  • Rôle accordant des autorisations pour l'API et la console Stackdriver Trace : choisissez des groupes d'autorisations dans la section Autorisations de la console plus haut.
  • Pour accorder des autorisations d'écriture de données de trace, associez les autorisations du rôle roles/cloudtrace.agent dans la section Rôles.

Pour en savoir plus sur les rôles personnalisés, consultez la page Créer et gérer les rôles personnalisés.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation Stackdriver Trace