Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定 Google Cloud 资源的细化访问权限,并防止对其他资源进行不必要的访问。本页面介绍了 Cloud Trace 的 IAM 角色。
- 如需了解如何为用户或服务帐号分配 IAM 角色,请参阅管理对项目、文件夹和组织的访问权限。
- 如需详细了解预定义角色,请参阅 IAM:角色和权限。
- 如需有关选择最合适的预定义角色的帮助,请参阅选择预定义角色。
权限和预定义的 Cloud Trace 角色
IAM 角色包括权限,可以分配给用户、组和服务账号。下表列出了 Cloud Trace 的预定义角色,并列出了这些角色的权限:
Role | Permissions |
---|---|
Cloud Trace Admin( Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role:
|
cloudtrace.*
resourcemanager.projects.get resourcemanager.projects.list |
Cloud Trace Agent( For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role:
|
cloudtrace.traces.patch |
Cloud Trace User( Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role:
|
cloudtrace.insights.*
cloudtrace.stats.get cloudtrace.tasks.*
cloudtrace.traces.get cloudtrace.traces.list resourcemanager.projects.get resourcemanager.projects.list |
创建自定义角色
如需创建包含 Cloud Trace 权限的自定义角色,请执行以下操作:
- 对于仅授予 Cloud Trace API 权限的角色,请选择该 API 方法所需的权限。
- 对于授予 Cloud Trace API 和控制台权限的角色,请从预定义的 Cloud Trace 角色中选择权限组。
- 如需授予写入轨迹数据的权限,请在 Cloud Trace Agent (
roles/cloudtrace.agent
) 角色中添加权限。
如需详细了解自定义角色,请参阅创建和管理自定义角色。
API 方法的权限
如需了解执行 API 调用所需的权限,请参阅 Cloud Trace API 参考文档:
projects.traces.list / ListTraces
projects.traces.get / GetTrace
projects.patchTraces / PatchTraces
projects.traces.batchWrite / BatchWriteSpans
projects.traces.spans.createSpan / CreateSpan
projects.traceSinks.list / ListTracesSinks
projects.traceSinks.get / GetTraceSink
projects.traceSinks.create / CreateTraceSink
projects.traceSinks.patch / UpdateTraceSink
projects.traceSinks.delete / DeleteTraceSink