アクセス制御

Google Cloud Platform は Identity and Access Management(IAM)を提供し、特定の Google Cloud Platform リソースへのきめ細かなアクセス権を設定したり、他のリソースへの不正アクセスを防止したりすることができます。このページでは、Stackdriver Trace の IAM の役割について説明します。

ユーザーまたはサービス アカウントに IAM の役割を割り当てる方法については、IAM ドキュメントのポリシーの管理を参照してください。

権限と役割

ここでは、Stackdriver Trace がサポートする権限と役割について簡単に説明します。

API 権限

発信者が各メソッドを Stackdriver Trace API(cloudtrace.googleapis.com/v1)で呼び出す際に必要となる権限のリストを次の表に示します。

メソッド(REST / RPC) 必要な権限 リソースタイプ
projects.traces.list / ListTracesRequest cloudtrace.traces.list プロジェクト
projects.traces.get / GetTraceRequest cloudtrace.traces.get プロジェクト
projects.patchTraces / PatchTracesRequest cloudtrace.traces.patch プロジェクト

コンソール権限

GCP Console で Stackdriver Trace ページを使用するために必要となる権限のリストを次の表に示します。

作業内容 必要な権限
Trace コンソールへの読み取り専用アクセス(最小)。 cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
コンソールで解析レポートを作成する機能を追加する。 最小権限と以下の権限
cloudtrace.tasks.create
コンソールで解析レポートを削除する機能を追加する。 最小権限と以下の権限
cloudtrace.tasks.delete
コンソールでログを表示する機能を追加する。 最小権限と以下の権限
logging.logEntries.list
App Engine サービスとバージョン フィルタ メニューを表示する機能を追加する。 最小権限と以下の権限
appengine.applications.get
appengine.services.list
appengine.versions.list

役割

IAM の役割には権限が含まれており、ユーザー、グループ、サービス アカウントに割り当てることができます。各役割に含まれている Stackdriver Trace の権限は次のとおりです。

役割名 トレースの権限 説明
roles/cloudtrace.agent
Cloud Trace エージェント
cloudtrace.traces.patch サービス アカウントの場合。Stackdriver Trace にデータを送信してトレースを書き込む機能。
roles/cloudtrace.user
Cloud Trace ユーザー
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Trace コンソールへのフルアクセスとトレースへの読み取りアクセス。
roles/cloudtrace.admin
Cloud Trace 管理者
roles/cloudtrace.user の権限と以下の権限
cloudtrace.traces.patch
Trace コンソールへのフルアクセスとトレースへの読み取り / 書き込みアクセス。
roles/viewer
プロジェクト閲覧者
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Trace コンソールとトレースへの読み取りアクセス。
roles/editor
プロジェクト編集者
roles/viewer の権限と以下の権限
cloudtrace.tasks.create
cloudtrace.tasks.delete
Trace コンソールへの読み取り / 書き込みアクセスとトレースへの読み取りアクセス。
roles/owner
プロジェクト所有者
roles/editor の権限と以下の権限
cloudtrace.traces.patch
Trace コンソールとトレースへの読み取り / 書き込みアクセス。

カスタムの役割

Stackdriver Trace の権限を含むカスタムの役割を作成するには、次の手順を実行します。

  • Stackdriver Trace API の権限のみを付与する役割の場合は、上記の API 権限セクションから権限を選択します。
  • Stackdriver Trace API とコンソールの権限を付与する役割の場合は、上記のコンソール権限セクションから権限グループを選択します。
  • トレースデータを書き込む権限を付与するには、役割セクションに示す役割 roles/cloudtrace.agent の権限を含めます。
このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Stackdriver Trace ドキュメント