Zugriff mit IAM steuern

Auf dieser Seite wird beschrieben, wie Sie IAM-Rollen und -Berechtigungen (Identity and Access Management) verwenden, um den Zugriff auf Error Reporting-Daten in Google Cloud-Ressourcen zu steuern.

Übersicht

IAM-Berechtigungen und -Rollen bestimmen Ihre Fähigkeit, über die Error Reporting API und die Google Cloud Console auf Daten zuzugreifen.

Wenn Sie Error Reporting in einer Google Cloud-Ressource wie einem Google Cloud-Projekt, -Ordner oder -Organisation verwenden möchten, müssen Sie für diese Ressource eine IAM-Rolle erhalten. Diese Rolle muss die entsprechenden Berechtigungen enthalten.

Eine Rolle ist eine Sammlung von Berechtigungen. Sie können einem Hauptkonto Berechtigungen nicht direkt erteilen. Stattdessen weisen Sie ihm eine Rolle zu. Wenn Sie einem Hauptkonto eine Rolle zuweisen, erhält er alle mit ihr verknüpften Berechtigungen. Einem Hauptkonto können mehrere Rollen zugewiesen werden.

Vordefinierte Rollen

IAM bietet vordefinierte Rollen, um detaillierten Zugriff auf bestimmte Google Cloud-Ressourcen zu gewähren. Google Cloud erstellt und verwaltet diese Rollen und aktualisiert ihre Berechtigungen bei Bedarf automatisch, z. B. wenn Error Reporting neue Features hinzufügt.

In der folgenden Tabelle sind die Error Reporting-Rollen, die Titel der Rollen, ihre Beschreibungen, die enthaltenen Berechtigungen und der Ressourcentyp der untersten Ebene aufgeführt, für den die Rollen festgelegt werden können. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Hierarchie zugewiesen werden.

Eine Liste aller einzelnen Berechtigungen, die in einer Rolle enthalten sind, finden Sie unter Rollenmetadaten abrufen.

Role Permissions

(roles/errorreporting.admin)

Provides full access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.*

  • errorreporting.applications.list
  • errorreporting.errorEvents.create
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update
  • errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Provides the permissions to read and write Error Reporting data, except for sending new error events.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Provides read-only access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Provides the permissions to send error events to Error Reporting.

Lowest-level resources where you can grant this role:

  • Service Account

errorreporting.errorEvents.create

API-Berechtigungen

Für Methoden der Error Reporting API sind bestimmte IAM-Berechtigungen erforderlich. In der folgenden Tabelle werden die Berechtigungen beschrieben, die für die API-Methoden erforderlich sind.

Methode Erforderliche Berechtigungen Beschreibung
deleteEvents errorreporting.errorEvents.delete Fehlerereignisse löschen
events.list errorreporting.errorEvents.list Fehlerereignisse auflisten
events.report errorreporting.errorEvents.create Fehlerereignisse erstellen oder aktualisieren
groupStats.list errorreporting.groups.list ErrorGroupStats auflisten
groups.get errorreporting.groupMetadata.get Informationen zu Fehlergruppen abrufen
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Fehlergruppeninformationen aktualisieren und ausblenden
    Fehlerlösungsstatus ändern
  • Dienste und Versionen für ein Projekt auflisten
  • Weitere Gesichtspunkte

    Sehen Sie sich bei der Entscheidung, welche Berechtigungen und Rollen für die Anwendungsfälle eines Hauptkontos gelten, die folgende Zusammenfassung der Error Reporting-Aktivitäten und erforderlichen Berechtigungen an:

    Aktivitäten Erforderliche Berechtigungen
    Sie haben Lesezugriff auf die Google Cloud Console-Seite von Error Reporting. errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Gruppendetails in der Google Cloud Console ansehen Berechtigungen für den Lesezugriff sowie:
    errorreporting.errorEvents.list
    Metadaten in der Google Cloud Console ändern Fehlerbehebungsstatus ändern, einschließlich ausgeblendeter Fehler Berechtigungen für den Lesezugriff sowie:
    errorreporting.groupMetadata.update
    Löschen Sie Fehler in der Google Cloud Console. Berechtigungen für den Lesezugriff sowie:
    errorreporting.errorEvents.delete
    Fehler erstellen (keine Google Cloud Console-Berechtigungen erforderlich) errorreporting.errorEvents.create
    Benachrichtigungen abonnieren Berechtigungen für den Lesezugriff sowie:
    cloudnotifications.activities.list

    Rollen gewähren und verwalten

    Sie können IAM-Rollen mithilfe der Google Cloud Console, der IAM API-Methoden oder der Google Cloud CLI gewähren und verwalten. Eine Anleitung zum Gewähren und Verwalten von Rollen finden Sie unter Zugriff gewähren, ändern und widerrufen.

    Einem Nutzer können mehrere Rollen zugewiesen werden. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

    Wenn Sie versuchen, auf eine Google Cloud-Ressource zuzugreifen und nicht die erforderlichen Berechtigungen haben, wenden Sie sich an den Nutzer, der als Inhaber der Ressource aufgeführt ist.

    Benutzerdefinierte Rollen

    Wählen Sie zum Erstellen einer benutzerdefinierten Rolle mit Error Reporting-Berechtigungen Berechtigungen aus API-Berechtigungen aus und folgen Sie dann der Anleitung zum Erstellen einer benutzerdefinierten Rolle.

    Latenz der Rollenänderung

    Da IAM-Berechtigungen in Error Reporting 5 Minuten lang im Cache gespeichert werden, dauert es bis zu 5 Minuten, bis eine Rollenänderung wirksam wird.