Controle de acesso

O Google Cloud oferece o Gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Nesta página, descrevemos os papéis do Cloud IAM para o Cloud Trace.

Para saber como atribuir os papéis do IAM a uma conta de usuário ou serviço, leia as Políticas de gerenciamento na documentação do IAM.

Permissões e papéis

Esta seção resume as permissões e papéis compatíveis com o Cloud Trace.

Permissões da API

A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método na API Cloud Trace:

Método (REST/RPC) Permissões necessárias Por tipo de recurso
projects.traces.list / ListTraces cloudtrace.traces.list projeto
projects.traces.get / GetTrace cloudtrace.traces.get projeto
projects.patchTraces / PatchTraces cloudtrace.traces.patch projeto
projects.traces.batchWrite / BatchWriteSpans cloudtrace.traces.patch projeto
projects.traces.spans.createSpan / CreateSpan cloudtrace.traces.patch projeto
projects.traceSinks.list / ListTracesSinks cloudtrace.tracesinks.list projeto
projects.traceSinks.get / GetTraceSink cloudtrace.tracesinks.get projeto
projects.traceSinks.create / CreateTraceSink cloudtrace.tracesinks.create projeto
projects.traceSinks.patch / UpdateTraceSink cloudtrace.tracesinks.update projeto
projects.traceSinks.delete / DeleteTraceSink cloudtrace.tracesinks.delete projeto

Permissões do console

A tabela a seguir lista as permissões necessárias para usar as páginas do Cloud Trace no Console do Cloud:

Activity Permissões exigidas
Acesso somente leitura ao console do Trace. cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Adicionar a capacidade de criar relatórios de análise no console. Permissões somente leitura, mais:
cloudtrace.tasks.create
Adicionar a capacidade de excluir relatórios de análise no console. Permissões somente leitura, mais:
cloudtrace.tasks.delete
Adicionar a capacidade de mostrar registros no console. Permissões somente leitura, mais:
logging.logEntries.list
Adicionar a capacidade de mostrar o serviço do App Engine e os menus do filtro de versão. Permissões somente leitura, mais:
appengine.applications.get
appengine.services.list
appengine.versions.list

As permissões cloud.tasks.* pertencem ao gerenciamento de Relatórios de análise. As permissõescloudtrace.insights.* são usadas para exibir insights do Trace. cloudtrace.stats.get permite que o console recupere os URI's e URL's do projeto mais recente, bem como as estatísticas de rastreamento específicas do projeto.

Papéis

Os papéis do IAM incluem permissões e podem ser atribuídos a usuários, grupos e contas de serviço. Os papéis a seguir incluem as permissões listadas para o Cloud Trace:

Nome do papel Permissões do Trace Descrição
roles/cloudtrace.agent
Agente do Cloud Trace
cloudtrace.traces.patch Para contas de serviço Capacidade de gravar traces enviando os dados ao Stackdriver Trace.
roles/cloudtrace.user
Usuário do Cloud Trace
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
cloudtrace.tracesinks.list
cloudtrace.tracesinks.create
cloudtrace.tracesinks.get
cloudtrace.tracesinks.update
cloudtrace.tracesinks.delete
Acesso total ao console do Trace, acesso de leitura a traces
e acesso de leitura e gravação a coletores.
roles/cloudtrace.admin
Administrador do Cloud Trace
Permissões em roles/cloudtrace.user, mais:
cloudtrace.traces.patch
Acesso total ao console do Trace, acesso de leitura e gravação a traces
e acesso de leitura e gravação a coletores.
roles/viewer
Visualizador do projeto
cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
cloudtrace.tracesinks.list
cloudtrace.tracesinks.get
Acesso de leitura ao console, aos traces e aos coletores do Trace.
roles/editor
Editor do projeto
Permissões de roles/viewer, mais:
cloudtrace.tasks.create
cloudtrace.tasks.delete
Acesso de leitura e gravação ao console do Trace e acesso de leitura aos traces.
roles/owner
Proprietário do projeto
Permissões de roles/editor, mais:
cloudtrace.traces.patch
Acesso de leitura e gravação ao console do Trace e aos traces.

Papéis personalizados

Para criar um papel personalizado que inclua permissões do Cloud Trace, faça o seguinte:

  • Para um papel que concede permissões apenas para a API Cloud Trace, escolha uma das permissões na seção anterior, Permissões da API.
  • Para um papel que concede permissões para a API e o Console do Cloud Trace, escolha grupos de permissões na seção anterior, Permissões do console.
  • Para conceder a capacidade de gravar dados de trace, inclua as permissões no papel roles/cloudtrace.agent na seção Papéis.

Para mais informações sobre funções personalizadas, consulte Como criar e gerenciar papéis personalizados.