Mengontrol akses dengan IAM

Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Halaman ini menjelaskan peran IAM untuk Cloud Trace.

Praktik terbaik

Untuk memfasilitasi pemecahan masalah, sebaiknya semua orang, grup, dan domain yang mungkin perlu melihat data rekaman aktivitas dalam project diberi peran Pengguna Cloud Trace (roles/cloudtrace.user) di project tersebut. Peran ini memberi akun utama izin yang diperlukan untuk melihat data rekaman aktivitas.

Izin dan peran Cloud Trace yang telah ditetapkan

Peran IAM mencakup izin dan dapat ditetapkan ke pengguna, grup, dan akun layanan. Tabel berikut mencantumkan peran bawaan untuk Cloud Trace, dan mencantumkan izin untuk peran tersebut:

Role Permissions

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

  • Project
  • cloudtrace.insights.get
  • cloudtrace.insights.list
  • cloudtrace.stats.get
  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list
  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

telemetry.traces.write

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.traces.patch

telemetry.traces.write

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

  • Project
  • cloudtrace.insights.get
  • cloudtrace.insights.list

cloudtrace.stats.get

  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list
  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Membuat peran khusus

Untuk membuat peran khusus yang menyertakan izin Cloud Trace, lakukan tindakan berikut:

  • Untuk peran yang hanya memberikan izin untuk Cloud Trace API, pilih izin yang diperlukan oleh metode API.
  • Untuk peran yang memberikan izin untuk konsol dan Cloud Trace API, pilih grup izin dari salah satu peran Cloud Trace standar.
  • Untuk memberikan kemampuan menulis data rekaman aktivitas, sertakan izin dalam peran Agen Cloud Trace (roles/cloudtrace.agent).

Untuk mengetahui informasi selengkapnya tentang peran khusus, buka Membuat dan mengelola peran khusus.

Izin untuk metode API

Untuk informasi tentang izin yang diperlukan untuk menjalankan panggilan API, lihat dokumentasi referensi Cloud Trace API: