Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Cloud Trace 用の IAM のロールについて説明します。
- ユーザーまたはサービス アカウントに IAM ロールを割り当てる方法については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください
- 事前定義ロールの詳細については、IAM: ロールと権限をご覧ください。
- 最適な事前定義ロールを選択する方法については、事前定義ロールの選択をご覧ください。
権限と事前定義された Cloud Trace のロール
IAM のロールには権限が含まれており、ユーザー、グループ、サービス アカウントに割り当てることが可能です。次の表に、Cloud Trace の事前定義ロールと、それらのロールの権限の一覧を示します。
| Role | Permissions |
|---|---|
Cloud Trace Admin( Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role:
|
|
Cloud Trace Agent( For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role:
|
|
Cloud Trace User( Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role:
|
|
カスタムロールを作成する
Cloud Trace 権限を含むカスタムロールを作成するには、次の操作を行います。
- Cloud Trace API の権限のみを付与するロールの場合は、API メソッドで必要な権限を選択します。
- Cloud Trace API とコンソールの権限を付与するロールの場合は、事前定義された Cloud Trace ロールのいずれかから権限グループを選択します。
- トレースデータを書き込む権限を付与するには、Cloud Trace エージェント(
roles/cloudtrace.agent)のロールに権限を含めます。
カスタムロールについて詳しくは、カスタムロールの作成と管理をご覧ください。
API メソッドの権限
API 呼び出しの実行に必要な権限については、Cloud Trace API リファレンス ドキュメントをご覧ください。
projects.traces.list / ListTracesprojects.traces.get / GetTraceprojects.patchTraces / PatchTracesprojects.traces.batchWrite / BatchWriteSpansprojects.traces.spans.createSpan / CreateSpanprojects.traceSinks.list / ListTracesSinksprojects.traceSinks.get / GetTraceSinkprojects.traceSinks.create / CreateTraceSinkprojects.traceSinks.patch / UpdateTraceSinkprojects.traceSinks.delete / DeleteTraceSink