Contrôler les accès avec IAM

Cette page explique comment utiliser les rôles et les autorisations IAM (Identity and Access Management) pour contrôler l'accès aux données Error Reporting dans les ressources Google Cloud.

Présentation

Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données via l'API Error Reporting et la console Google Cloud.

Pour utiliser Error Reporting dans une ressource Google Cloud, telle qu'un projet, un dossier ou une organisation Google Cloud, vous devez disposer d'un rôle IAM sur cette ressource. Ce rôle doit contenir les autorisations appropriées.

Un rôle est un ensemble d'autorisations. Vous ne pouvez pas accorder directement une autorisation principale. À la place, vous lui accordez un rôle. Lorsque vous attribuez un rôle à un compte principal, vous lui accordez toutes les autorisations associées. Vous pouvez attribuer plusieurs rôles au même compte principal.

Rôles prédéfinis

IAM fournit des rôles prédéfinis pour accorder un accès précis à des ressources Google Cloud spécifiques. Google Cloud crée et gère ces rôles, et met automatiquement à jour leurs autorisations si nécessaire, par exemple lorsque Error Reporting ajoute de nouvelles fonctionnalités.

Le tableau suivant répertorie les rôles Error Reporting, les titres des rôles, leurs descriptions, les autorisations qu'ils contiennent et le type de ressource le plus bas pour lequel les rôles peuvent être définis. Un rôle particulier peut être accordé à ce type de ressource ou, dans la plupart des cas, à tout type supérieur à celui-ci dans la hiérarchie Google Cloud.

Pour obtenir la liste de chaque autorisation individuelle contenue dans un rôle, consultez la section Obtenir les métadonnées du rôle.

Role Permissions

(roles/errorreporting.admin)

Provides full access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.*

  • errorreporting.applications.list
  • errorreporting.errorEvents.create
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update
  • errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.user)

Provides the permissions to read and write Error Reporting data, except for sending new error events.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

  • errorreporting.groupMetadata.get
  • errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

  • logging.notificationRules.create
  • logging.notificationRules.delete
  • logging.notificationRules.get
  • logging.notificationRules.list
  • logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.viewer)

Provides read-only access to Error Reporting data.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/errorreporting.writer)

Provides the permissions to send error events to Error Reporting.

Lowest-level resources where you can grant this role:

  • Service Account

errorreporting.errorEvents.create

Autorisations des API

Les méthodes de l'API Error Reporting nécessitent des autorisations IAM spécifiques. Le tableau suivant répertorie et décrit les autorisations requises par les méthodes d'API.

Méthode Autorisation(s) requise(s) Description
deleteEvents errorreporting.errorEvents.delete Supprimer les événements associés à des erreurs
events.list errorreporting.errorEvents.list Répertorier les événements associés à des erreurs
events.report errorreporting.errorEvents.create Créer ou mettre à jour les événements associés à des erreurs
groupStats.list errorreporting.groups.list Répertorier ErrorGroupStats
groups.get errorreporting.groupMetadata.get Récupérer les informations du groupe d'erreurs
groups.update
  • errorreporting.groupMetadata.update
  • errorreporting.applications.list
  • Mettre à jour et ignorer les informations du groupe d'erreurs
    Modifier l'état de résolution de l'erreur
  • Répertorier les services et les versions pour un projet
  • Informations complémentaires

    Lorsque vous déterminez les autorisations et rôles applicables aux cas d'utilisation d'un compte principal, tenez compte du récapitulatif suivant des activités Error Reporting et des autorisations requises :

    Activités Autorisations requises
    Disposer d'un accès en lecture seule à la page Error Reporting de la console Google Cloud errorreporting.applications.list
    errorreporting.groupMetadata.get
    errorreporting.groups.list
    Afficher les détails du groupe dans la console Google Cloud Autorisations d'accès en lecture seule plus :
    errorreporting.errorEvents.list
    Modifier les métadonnées dans la console Google Cloud. Modifier l'état de résolution des erreurs, y compris ignorer ces dernières Autorisations d'accès en lecture seule plus :
    errorreporting.groupMetadata.update
    Supprimer des erreurs dans la console Google Cloud Autorisations d'accès en lecture seule plus :
    errorreporting.errorEvents.delete
    Créer des erreurs (aucune autorisation de la console Google Cloud nécessaire) errorreporting.errorEvents.create
    S'abonner à des notifications Autorisations d'accès en lecture seule plus :
    cloudnotifications.activities.list

    Attribuer et gérer des rôles

    Vous pouvez attribuer et gérer des rôles IAM à l'aide de la console Google Cloud, des méthodes de l'API IAM ou du Google Cloud CLI. Pour découvrir comment attribuer et gérer des rôles, consultez la page Accorder, modifier et révoquer des accès.

    Vous pouvez attribuer plusieurs rôles au même utilisateur. Pour obtenir la liste des autorisations contenues dans un rôle, consultez la section Obtenir les métadonnées du rôle.

    Si vous tentez d'accéder à une ressource Google Cloud et que vous ne disposez pas des autorisations nécessaires, contactez l'utilisateur désigné comme propriétaire de la ressource.

    Rôles personnalisés

    Pour créer un rôle personnalisé disposant des autorisations associées à Error Reporting, sélectionnez les autorisations de la section Autorisations des API, puis suivez les instructions permettant de créer un rôle personnalisé.

    Latence de modification d'un rôle

    Error Reporting met en cache les autorisations IAM pendant cinq minutes. La modification d'un rôle est appliquée dans ce même laps de temps.