アクセス制御

Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Cloud Trace 用の IAM のロールについて説明します。

ユーザーまたはサービス アカウントに IAM ロールを割り当てる方法については、IAM ドキュメントのポリシーの管理を参照してください。

権限とロール

ここでは、Cloud Trace でサポートされる権限とロールについて簡単に説明します。

API 権限

次の表に、Cloud Trace API の各メソッドを呼び出す際に必要な権限を示します。

メソッド(REST / RPC) 必要な権限 リソースタイプ
projects.traces.list / ListTraces cloudtrace.traces.list プロジェクト
projects.traces.get / GetTrace cloudtrace.traces.get プロジェクト
projects.patchTraces / PatchTraces cloudtrace.traces.patch プロジェクト
projects.traces.batchWrite / BatchWriteSpans cloudtrace.traces.patch プロジェクト
projects.traces.spans.createSpan / CreateSpan cloudtrace.traces.patch プロジェクト
projects.traceSinks.list / ListTracesSinks cloudtrace.tracesinks.list プロジェクト
projects.traceSinks.get / GetTraceSink cloudtrace.tracesinks.get プロジェクト
projects.traceSinks.create / CreateTraceSink cloudtrace.tracesinks.create プロジェクト
projects.traceSinks.patch / UpdateTraceSink cloudtrace.tracesinks.update プロジェクト
projects.traceSinks.delete / DeleteTraceSink cloudtrace.tracesinks.delete プロジェクト

コンソール権限

次の表に、Cloud Console で Cloud Trace ページを使用するために必要な権限を一覧表示します。

作業内容 必要な権限
Trace コンソールへの読み取り専用権限。 cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
コンソールで解析レポートを作成する機能を追加する。 読み取り専用権限+以下の権限:
cloudtrace.tasks.create
コンソールで解析レポートを削除する機能を追加する。 読み取り専用権限+以下の権限:
cloudtrace.tasks.delete
コンソールでログを表示する機能を追加する。 読み取り専用権限+以下の権限:
logging.logEntries.list
App Engine サービスとバージョン フィルタ メニューを表示する機能を追加する。 読み取り専用権限+以下の権限:
appengine.applications.get
appengine.services.list
appengine.versions.list

cloud.tasks.* 権限は、分析レポートの管理に関連します。cloudtrace.insights.* 権限は、トレース分析情報の表示に使用されます。cloudtrace.stats.get を使用すると、現在のプロジェクトの最も頻度が高い URI と URL、プロジェクト固有のトレース統計情報を取得できます。

ロール

IAM のロールには権限が含まれており、ユーザー、グループ、サービス アカウントに割り当てることが可能です。各ロールに含まれている Cloud Trace の権限は次のとおりです。

ロール名 トレースの権限 説明
roles/cloudtrace.agent
Cloud Trace エージェント
cloudtrace.traces.patch サービス アカウントの場合。Trace にデータを送信してトレースを書き込む機能。
roles/cloudtrace.user
Cloud Trace ユーザー
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
cloudtrace.tracesinks.list
cloudtrace.tracesinks.create
cloudtrace.tracesinks.get
cloudtrace.tracesinks.update
cloudtrace.tracesinks.delete
Trace コンソールへの完全アクセス、トレースへの読み取りアクセス、
シンクへの読み取り / 書き込みアクセス。
roles/cloudtrace.admin
Cloud Trace 管理者
roles/cloudtrace.user の権限に加えて、
cloudtrace.traces.patch
Trace コンソールへの完全アクセス、トレースへの読み取り/書き込みアクセス、
シンクへの読み取り/書き込みアクセス。
roles/viewer
プロジェクト閲覧者
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
cloudtrace.tracesinks.list
cloudtrace.tracesinks.get
Trace コンソール、トレース、シンクへの読み取りアクセス。
roles/editor
プロジェクト編集者
roles/viewer の権限に加えて、
cloudtrace.tasks.create
cloudtrace.tasks.delete
Trace コンソールへの読み取り / 書き込みアクセスとトレースへの読み取りアクセス。
roles/owner
プロジェクト オーナー
roles/editorの権限に加えて、
cloudtrace.traces.patch
Trace コンソールとトレースへの読み取り / 書き込みアクセス。

カスタムロール

Cloud Trace 権限を含むカスタムロールを作成するには、次の操作を行います。

  • Cloud Trace API にのみ権限を付与するロールの場合は、前のセクションの API 権限から選択します。
  • Cloud Trace API とコンソールの権限を付与するロールについては、前のセクションのコンソール権限で権限グループを選択してください。
  • トレースデータを書き込む権限を付与するには、ロールセクションのロール roles/cloudtrace.agent に権限を含めます。

カスタムロールについて詳しくは、カスタムのロールの作成と管理をご覧ください。