Controlar o acesso com o IAM

O Google Cloud oferece o Gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Nesta página, descrevemos os papéis do Cloud IAM para o Cloud Trace.

Para saber como atribuir papéis do IAM a uma conta de usuário ou serviço, leia Gerenciar acesso a projetos, pastas e organizações.
Para mais informações sobre papéis predefinidos, consulte IAM: papéis e permissões.
Se precisar de ajuda para escolher os papéis predefinidos mais adequados, consulte Escolher papéis predefinidos.

Permissões e papéis predefinidos do Cloud Trace

Os papéis do IAM incluem permissões e podem ser atribuídos a usuários, grupos e contas de serviço. A tabela a seguir lista os papéis predefinidos do Cloud Trace e lista as permissões para esses papéis:

Role Permissions

Role	Permissions
Cloud Trace Admin (`roles/cloudtrace.admin`) Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.*` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traces.get` `cloudtrace.traces.list` `cloudtrace.traces.patch` `resourcemanager.projects.get` `resourcemanager.projects.list`
Cloud Trace Agent (`roles/cloudtrace.agent`) For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role: Project	`cloudtrace.traces.patch`
Cloud Trace User (`roles/cloudtrace.user`) Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role: Project	`cloudtrace.insights.` `cloudtrace.insights.get` `cloudtrace.insights.list` `cloudtrace.stats.get` `cloudtrace.tasks.` `cloudtrace.tasks.create` `cloudtrace.tasks.delete` `cloudtrace.tasks.get` `cloudtrace.tasks.list` `cloudtrace.traces.get` `cloudtrace.traces.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Cloud Trace Admin

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.*

cloudtrace.insights.get
cloudtrace.insights.list
cloudtrace.stats.get
cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list
cloudtrace.traces.get
cloudtrace.traces.list
cloudtrace.traces.patch

resourcemanager.projects.get

resourcemanager.projects.list

Cloud Trace Agent

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

Project

cloudtrace.traces.patch

Cloud Trace User

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

Project

cloudtrace.insights.*

cloudtrace.insights.get
cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

cloudtrace.tasks.create
cloudtrace.tasks.delete
cloudtrace.tasks.get
cloudtrace.tasks.list

cloudtrace.traces.get

cloudtrace.traces.list

resourcemanager.projects.get

resourcemanager.projects.list

criar papéis personalizados

Para criar um papel personalizado que inclua permissões do Cloud Trace, faça o seguinte:

Para um papel que conceda permissões apenas para a API Cloud Trace, escolha as permissões exigidas pelo método da API.
Para um papel que conceda permissões para a API Cloud Trace e o console, escolha os grupos de permissões de um dos papéis predefinidos do Cloud Trace.
Para conceder a capacidade de gravar dados de trace, inclua as permissões no papel Agente do Cloud Trace (roles/cloudtrace.agent).

Para mais informações sobre papéis personalizados, acesse Criar e gerenciar papéis personalizados.

Permissões para métodos de API

Para informações sobre as permissões necessárias para executar uma chamada de API, consulte a documentação de referência da API Cloud Trace:

projects.traces.list / ListTraces
projects.traces.get / GetTrace
projects.patchTraces / PatchTraces
projects.traces.batchWrite / BatchWriteSpans
projects.traces.spans.createSpan / CreateSpan
projects.traceSinks.list / ListTracesSinks
projects.traceSinks.get / GetTraceSink
projects.traceSinks.create / CreateTraceSink
projects.traceSinks.patch / UpdateTraceSink
projects.traceSinks.delete / DeleteTraceSink