アクセス制御

Google Cloud Platform(GCP)では、Cloud Identity and Access Management(Cloud IAM)を利用して特定の GCP リソースへのアクセス権を細かく制御し、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Stackdriver Trace の Cloud IAM の役割について説明します。

Cloud IAM の役割をユーザーまたはサービス アカウントに割り当てる方法については、Cloud IAM のドキュメントのポリシーの管理をご覧ください。

権限と役割

ここでは、Stackdriver Trace がサポートする権限と役割について簡単に説明します。

API 権限

発信者が各メソッドを Stackdriver Trace API(cloudtrace.googleapis.com/v1)で呼び出す際に必要となる権限のリストを次の表に示します。

メソッド(REST / RPC) 必要な権限 リソースタイプ
projects.traces.list / ListTracesRequest cloudtrace.traces.list プロジェクト
projects.traces.get / GetTraceRequest cloudtrace.traces.get プロジェクト
projects.patchTraces / PatchTracesRequest cloudtrace.traces.patch プロジェクト

コンソール権限

GCP Console で Stackdriver Trace ページを使用するために必要となる権限のリストを次の表に示します。

作業内容 必要な権限
Trace コンソールへの読み取り専用権限。 cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
コンソールで解析レポートを作成する機能を追加する。 読み取り専用権限+以下の権限
cloudtrace.tasks.create
コンソールで解析レポートを削除する機能を追加する。 読み取り専用権限+以下の権限
cloudtrace.tasks.delete
コンソールでログを表示する機能を追加する。 読み取り専用権限+以下の権限
logging.logEntries.list
App Engine サービスとバージョン フィルタ メニューを表示する機能を追加する。 読み取り専用権限+以下の権限
appengine.applications.get
appengine.services.list
appengine.versions.list

役割

IAM の役割には権限が含まれており、ユーザー、グループ、サービス アカウントに割り当てることができます。各役割に含まれている Stackdriver Trace の権限は次のとおりです。

役割名 トレースの権限 説明
roles/cloudtrace.agent
Cloud Trace エージェント
cloudtrace.traces.patch サービス アカウントの場合。Trace にデータを送信してトレースを書き込む機能。
roles/cloudtrace.user
Cloud Trace ユーザー
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Trace コンソールへのフルアクセスとトレースへの読み取りアクセス。
roles/cloudtrace.admin
Cloud Trace 管理者
roles/cloudtrace.user の権限と以下の権限
cloudtrace.traces.patch
Trace コンソールへのフルアクセスとトレースへの読み取り / 書き込みアクセス。
roles/viewer
プロジェクト閲覧者
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Trace コンソールとトレースへの読み取りアクセス。
roles/editor
プロジェクト編集者
roles/viewer の権限と以下の権限
cloudtrace.tasks.create
cloudtrace.tasks.delete
Trace コンソールへの読み取り / 書き込みアクセスとトレースへの読み取りアクセス。
roles/owner
プロジェクト所有者
roles/editor の権限と以下の権限
cloudtrace.traces.patch
Trace コンソールとトレースへの読み取り / 書き込みアクセス。

カスタムの役割

Stackdriver Trace の権限を含むカスタムの役割を作成するには、次の手順を実行します。

  • Stackdriver Trace API の権限のみを付与する役割の場合は、上記の API 権限セクションから権限を選択します。
  • Stackdriver Trace API およびコンソールの権限を付与する役割については、前のセクションのコンソールの権限で権限グループを選択してください。
  • トレースデータを書き込む権限を付与するには、役割セクションに示す役割 roles/cloudtrace.agent の権限を含めます。

カスタムの役割について詳しくは、カスタムの役割の作成と管理をご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Stackdriver Trace ドキュメント