O Google Cloud oferece o Gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Nesta página, descrevemos os papéis do Cloud IAM para o Cloud Trace.
Para saber como atribuir os papéis do IAM a uma conta de usuário ou serviço, leia as Políticas de gerenciamento na documentação do IAM.
Permissões e papéis
Esta seção resume as permissões e papéis compatíveis com o Cloud Trace.
Permissões da API
A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método na API Cloud Trace:
Método (REST/RPC) | Permissões necessárias | Por tipo de recurso |
---|---|---|
projects.traces.list / ListTraces |
cloudtrace.traces.list |
projeto |
projects.traces.get / GetTrace |
cloudtrace.traces.get |
projeto |
projects.patchTraces / PatchTraces |
cloudtrace.traces.patch |
projeto |
projects.traces.batchWrite / BatchWriteSpans |
cloudtrace.traces.patch |
projeto |
projects.traces.spans.createSpan / CreateSpan |
cloudtrace.traces.patch |
projeto |
projects.traceSinks.list / ListTracesSinks |
cloudtrace.tracesinks.list |
projeto |
projects.traceSinks.get / GetTraceSink |
cloudtrace.tracesinks.get |
projeto |
projects.traceSinks.create / CreateTraceSink |
cloudtrace.tracesinks.create |
projeto |
projects.traceSinks.patch / UpdateTraceSink |
cloudtrace.tracesinks.update |
projeto |
projects.traceSinks.delete / DeleteTraceSink |
cloudtrace.tracesinks.delete |
projeto |
Permissões do console
A tabela a seguir lista as permissões necessárias para usar as páginas do Cloud Trace no Console do Cloud:
Atividade | Permissões exigidas |
---|---|
Acesso somente leitura ao console do Trace. | cloudtrace.insights.get cloudtrace.insights.list cloudtrace.stats.get cloudtrace.tasks.get cloudtrace.tasks.list cloudtrace.traces.get cloudtrace.traces.list resourcemanager.projects.get resourcemanager.projects.list |
Adicionar a capacidade de criar relatórios de análise no console. | Permissões somente leitura, mais:cloudtrace.tasks.create |
Adicionar a capacidade de excluir relatórios de análise no console. | Permissões somente leitura, mais:cloudtrace.tasks.delete |
Adicionar a capacidade de mostrar registros no console. | Permissões somente leitura, mais:logging.logEntries.list |
Adicionar a capacidade de mostrar o serviço do App Engine e os menus do filtro de versão. | Permissões somente leitura, mais:appengine.applications.get appengine.services.list appengine.versions.list |
As permissões cloud.tasks.*
pertencem ao gerenciamento de
Relatórios de análise. As permissõescloudtrace.insights.*
são usadas para exibir insights do Trace.
cloudtrace.stats.get
permite que o console recupere os
URI's e URL's do projeto mais recente, bem como as estatísticas de rastreamento
específicas do projeto.
Papéis
Os papéis do IAM incluem permissões e podem ser atribuídos a usuários, grupos e contas de serviço. Os papéis a seguir incluem as permissões listadas para o Cloud Trace:
Nome do papel | Permissões do Trace | Descrição |
---|---|---|
roles/cloudtrace.agent Agente do Cloud Trace |
cloudtrace.traces.patch |
Para contas de serviço Capacidade de gravar traces enviando os dados ao Stackdriver Trace. |
roles/cloudtrace.user Usuário do Cloud Trace |
cloudtrace.insights.get cloudtrace.insights.list cloudtrace.stats.get cloudtrace.tasks.create cloudtrace.tasks.delete cloudtrace.tasks.get cloudtrace.tasks.list cloudtrace.traces.get cloudtrace.traces.list resourcemanager.projects.get resourcemanager.projects.list cloudtrace.tracesinks.list cloudtrace.tracesinks.create cloudtrace.tracesinks.get cloudtrace.tracesinks.update cloudtrace.tracesinks.delete |
Acesso total ao console do Trace, acesso de leitura a traces e acesso de leitura e gravação a coletores. |
roles/cloudtrace.admin Administrador do Cloud Trace |
Permissões em roles/cloudtrace.user , mais:cloudtrace.traces.patch |
Acesso total ao console do Trace, acesso de leitura e gravação a traces e acesso de leitura e gravação a coletores. |
roles/viewer Visualizador do projeto |
cloudtrace.insights.get cloudtrace.insights.list cloudtrace.stats.get cloudtrace.tasks.get cloudtrace.tasks.list cloudtrace.traces.get cloudtrace.traces.list resourcemanager.projects.get resourcemanager.projects.list cloudtrace.tracesinks.list cloudtrace.tracesinks.get |
Acesso de leitura ao console, aos traces e aos coletores do Trace. |
roles/editor Editor do projeto |
Permissões de roles/viewer , mais:cloudtrace.tasks.create cloudtrace.tasks.delete |
Acesso de leitura e gravação ao console do Trace e acesso de leitura aos traces. |
roles/owner Proprietário do projeto |
Permissões de roles/editor , mais:cloudtrace.traces.patch |
Acesso de leitura e gravação ao console do Trace e aos traces. |
Papéis personalizados
Para criar um papel personalizado que inclua permissões do Cloud Trace, faça o seguinte:
- Para um papel que concede permissões apenas para a API Cloud Trace, escolha uma das permissões na seção anterior, Permissões da API.
- Para um papel que concede permissões para a API e o Console do Cloud Trace, escolha grupos de permissões na seção anterior, Permissões do console.
- Para conceder a capacidade de gravar dados de trace, inclua as permissões no papel
roles/cloudtrace.agent
na seção Papéis.
Para mais informações sobre funções personalizadas, consulte Como criar e gerenciar papéis personalizados.