O Google Cloud oferece o Gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Nesta página, descrevemos os papéis do Cloud IAM para o Cloud Trace.
Para saber como atribuir os papéis do IAM a uma conta de usuário ou serviço, leia as Políticas de gerenciamento na documentação do IAM.
Permissões e papéis
Esta seção resume as permissões e papéis compatíveis com o Cloud Trace.
Permissões da API
A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método na API Cloud Trace:
| Método (REST/RPC) | Permissões necessárias | Por tipo de recurso |
|---|---|---|
projects.traces.list / ListTraces |
cloudtrace.traces.list |
projeto |
projects.traces.get / GetTrace |
cloudtrace.traces.get |
projeto |
projects.patchTraces / PatchTraces |
cloudtrace.traces.patch |
projeto |
projects.traces.batchWrite / BatchWriteSpans |
cloudtrace.traces.patch |
projeto |
projects.traces.spans.createSpan / CreateSpan |
cloudtrace.traces.patch |
projeto |
projects.traceSinks.list / ListTracesSinks |
cloudtrace.tracesinks.list |
projeto |
projects.traceSinks.get / GetTraceSink |
cloudtrace.tracesinks.get |
projeto |
projects.traceSinks.create / CreateTraceSink |
cloudtrace.tracesinks.create |
projeto |
projects.traceSinks.patch / UpdateTraceSink |
cloudtrace.tracesinks.update |
projeto |
projects.traceSinks.delete / DeleteTraceSink |
cloudtrace.tracesinks.delete |
projeto |
Permissões do console
A tabela a seguir lista as permissões necessárias para usar as páginas do Cloud Trace no Console do Cloud:
| Activity | Permissões exigidas |
|---|---|
| Acesso somente leitura ao console do Trace. | cloudtrace.insights.getcloudtrace.insights.listcloudtrace.stats.getcloudtrace.tasks.getcloudtrace.tasks.listcloudtrace.traces.getcloudtrace.traces.listresourcemanager.projects.getresourcemanager.projects.list |
| Adicionar a capacidade de criar relatórios de análise no console. | Permissões somente leitura, mais:cloudtrace.tasks.create |
| Adicionar a capacidade de excluir relatórios de análise no console. | Permissões somente leitura, mais:cloudtrace.tasks.delete |
| Adicionar a capacidade de mostrar registros no console. | Permissões somente leitura, mais:logging.logEntries.list |
| Adicionar a capacidade de mostrar o serviço do App Engine e os menus do filtro de versão. | Permissões somente leitura, mais:appengine.applications.getappengine.services.listappengine.versions.list |
As permissões cloud.tasks.* pertencem ao gerenciamento de
Relatórios de análise. As permissõescloudtrace.insights.*
são usadas para exibir insights do Trace.
cloudtrace.stats.get permite que o console recupere os
URI's e URL's do projeto mais recente, bem como as estatísticas de rastreamento
específicas do projeto.
Papéis
Os papéis do IAM incluem permissões e podem ser atribuídos a usuários, grupos e contas de serviço. Os papéis a seguir incluem as permissões listadas para o Cloud Trace:
| Nome do papel | Permissões do Trace | Descrição |
|---|---|---|
roles/cloudtrace.agentAgente do Cloud Trace |
cloudtrace.traces.patch |
Para contas de serviço Capacidade de gravar traces enviando os dados ao Stackdriver Trace. |
roles/cloudtrace.userUsuário do Cloud Trace |
cloudtrace.insights.getcloudtrace.insights.listcloudtrace.stats.getcloudtrace.tasks.createcloudtrace.tasks.deletecloudtrace.tasks.getcloudtrace.tasks.listcloudtrace.traces.getcloudtrace.traces.listresourcemanager.projects.getresourcemanager.projects.list cloudtrace.tracesinks.listcloudtrace.tracesinks.createcloudtrace.tracesinks.getcloudtrace.tracesinks.updatecloudtrace.tracesinks.delete |
Acesso total ao console do Trace, acesso de leitura a traces e acesso de leitura e gravação a coletores. |
roles/cloudtrace.adminAdministrador do Cloud Trace |
Permissões em roles/cloudtrace.user, mais:cloudtrace.traces.patch |
Acesso total ao console do Trace, acesso de leitura e gravação a traces e acesso de leitura e gravação a coletores. |
roles/viewerVisualizador do projeto |
cloudtrace.insights.getcloudtrace.insights.listcloudtrace.stats.getcloudtrace.tasks.getcloudtrace.tasks.listcloudtrace.traces.getcloudtrace.traces.listresourcemanager.projects.getresourcemanager.projects.list cloudtrace.tracesinks.listcloudtrace.tracesinks.get |
Acesso de leitura ao console, aos traces e aos coletores do Trace. |
roles/editorEditor do projeto |
Permissões de roles/viewer, mais:cloudtrace.tasks.createcloudtrace.tasks.delete |
Acesso de leitura e gravação ao console do Trace e acesso de leitura aos traces. |
roles/ownerProprietário do projeto |
Permissões de roles/editor, mais:cloudtrace.traces.patch |
Acesso de leitura e gravação ao console do Trace e aos traces. |
Papéis personalizados
Para criar um papel personalizado que inclua permissões do Cloud Trace, faça o seguinte:
- Para um papel que concede permissões apenas para a API Cloud Trace, escolha uma das permissões na seção anterior, Permissões da API.
- Para um papel que concede permissões para a API e o Console do Cloud Trace, escolha grupos de permissões na seção anterior, Permissões do console.
- Para conceder a capacidade de gravar dados de trace, inclua as permissões no papel
roles/cloudtrace.agentna seção Papéis.
Para mais informações sobre funções personalizadas, consulte Como criar e gerenciar papéis personalizados.