Se usó la API de Cloud Translation para traducir esta página.

Control de acceso con IAM

En este documento, se describe cómo usar los permisos y los roles de Identity and Access Management (IAM) para controlar el acceso a los datos de registros en la API de Logging, el Explorador de registros y Google Cloud CLI.

Descripción general

Los permisos y los roles de IAM determinan tu capacidad para acceder a los datos de registros en la API de Logging, el Explorador de registros y la CLI de Google Cloud.

Un rol es un conjunto de permisos. No puedes otorgar permisos principales directamente. En su lugar, les otorgas una función. Cuando otorgas un rol a un principal, le otorgas todos los permisos que el rol contiene. Puedes otorgar varios roles a la misma principal.

Para usar Logging dentro de un recurso de Google Cloud , como un proyecto, una carpeta, un bucket o una organización de Google Cloud , una principal debe tener un rol de IAM que contenga los permisos adecuados.

Funciones predefinidas

IAM proporciona roles predefinidos para otorgar acceso detallado a recursos Google Cloud específicos y evitar el acceso no deseado a otros recursos. Google Cloud crea y mantiene estos roles, y actualiza sus permisos automáticamente según sea necesario, por ejemplo, cuando Logging agrega funciones nuevas.

En la siguiente tabla, se enumeran los roles predefinidos para Logging. Para cada rol, la tabla muestra el título, la descripción, los permisos incluidos y el tipo de recurso de nivel más bajo en el que se pueden otorgar los roles. Puedes otorgar los roles predefinidos a nivel del Google Cloud proyecto o, en la mayoría de los casos, a cualquier tipo superior en lajerarquía de recursos. Para restringir el rol de Logs View Accessor a una vista de registros en un bucket, usa los atributos de recursos para las condiciones de IAM.

Para obtener una lista de todos los permisos individuales contenidos en un rol, consulta Cómo obtener los metadatos del rol.

Role Permissions

Role	Permissions
Logging Admin (`roles/logging.admin`) Provides all permissions necessary to use all features of Cloud Logging. Lowest-level resources where you can grant this role: Project	`logging.buckets.copyLogEntries` `logging.buckets.create` `logging.buckets.createTagBinding` `logging.buckets.delete` `logging.buckets.deleteTagBinding` `logging.buckets.get` `logging.buckets.list` `logging.buckets.listEffectiveTags` `logging.buckets.listTagBindings` `logging.buckets.undelete` `logging.buckets.update` `logging.exclusions.` `logging.exclusions.create` `logging.exclusions.delete` `logging.exclusions.get` `logging.exclusions.list` `logging.exclusions.update` `logging.fields.access` `logging.links.` `logging.links.create` `logging.links.delete` `logging.links.get` `logging.links.list` `logging.locations.` `logging.locations.get` `logging.locations.list` `logging.logEntries.` `logging.logEntries.create` `logging.logEntries.download` `logging.logEntries.list` `logging.logEntries.route` `logging.logMetrics.` `logging.logMetrics.create` `logging.logMetrics.delete` `logging.logMetrics.get` `logging.logMetrics.list` `logging.logMetrics.update` `logging.logScopes.` `logging.logScopes.create` `logging.logScopes.delete` `logging.logScopes.get` `logging.logScopes.list` `logging.logScopes.update` `logging.logServiceIndexes.list` `logging.logServices.list` `logging.logs.` `logging.logs.delete` `logging.logs.list` `logging.notificationRules.` `logging.notificationRules.create` `logging.notificationRules.delete` `logging.notificationRules.get` `logging.notificationRules.list` `logging.notificationRules.update` `logging.operations.` `logging.operations.cancel` `logging.operations.get` `logging.operations.list` `logging.privateLogEntries.list` `logging.queries.` `logging.queries.deleteShared` `logging.queries.getShared` `logging.queries.listShared` `logging.queries.share` `logging.queries.updateShared` `logging.queries.usePrivate` `logging.settings.` `logging.settings.get` `logging.settings.update` `logging.sinks.` `logging.sinks.create` `logging.sinks.delete` `logging.sinks.get` `logging.sinks.list` `logging.sinks.update` `logging.sqlAlerts.` `logging.sqlAlerts.create` `logging.sqlAlerts.update` `logging.usage.get` `logging.views.` `logging.views.access` `logging.views.create` `logging.views.delete` `logging.views.get` `logging.views.getIamPolicy` `logging.views.list` `logging.views.listLogs` `logging.views.listResourceKeys` `logging.views.listResourceValues` `logging.views.setIamPolicy` `logging.views.update` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Logs Bucket Writer (`roles/logging.bucketWriter`) Ability to write logs to a log bucket. Lowest-level resources where you can grant this role: Project	`logging.buckets.write`
Logs Configuration Writer (`roles/logging.configWriter`) Provides permissions to read and write the configurations of logs-based metrics and sinks for exporting logs. Lowest-level resources where you can grant this role: Project	`logging.buckets.create` `logging.buckets.createTagBinding` `logging.buckets.delete` `logging.buckets.deleteTagBinding` `logging.buckets.get` `logging.buckets.list` `logging.buckets.listEffectiveTags` `logging.buckets.listTagBindings` `logging.buckets.undelete` `logging.buckets.update` `logging.exclusions.` `logging.exclusions.create` `logging.exclusions.delete` `logging.exclusions.get` `logging.exclusions.list` `logging.exclusions.update` `logging.links.` `logging.links.create` `logging.links.delete` `logging.links.get` `logging.links.list` `logging.locations.` `logging.locations.get` `logging.locations.list` `logging.logMetrics.` `logging.logMetrics.create` `logging.logMetrics.delete` `logging.logMetrics.get` `logging.logMetrics.list` `logging.logMetrics.update` `logging.logScopes.` `logging.logScopes.create` `logging.logScopes.delete` `logging.logScopes.get` `logging.logScopes.list` `logging.logScopes.update` `logging.logServiceIndexes.list` `logging.logServices.list` `logging.logs.list` `logging.notificationRules.` `logging.notificationRules.create` `logging.notificationRules.delete` `logging.notificationRules.get` `logging.notificationRules.list` `logging.notificationRules.update` `logging.operations.` `logging.operations.cancel` `logging.operations.get` `logging.operations.list` `logging.settings.` `logging.settings.get` `logging.settings.update` `logging.sinks.` `logging.sinks.create` `logging.sinks.delete` `logging.sinks.get` `logging.sinks.list` `logging.sinks.update` `logging.sqlAlerts.` `logging.sqlAlerts.create` `logging.sqlAlerts.update` `logging.views.create` `logging.views.delete` `logging.views.get` `logging.views.getIamPolicy` `logging.views.list` `logging.views.update` `observability.scopes.get` `resourcemanager.projects.get` `resourcemanager.projects.list`
Log Field Accessor (`roles/logging.fieldAccessor`) Ability to read restricted fields in a log bucket. Lowest-level resources where you can grant this role: Project	`logging.fields.access`
Log Link Accessor (`roles/logging.linkViewer`) Ability to see links for a bucket.	`logging.links.get` `logging.links.list`
Logs Writer (`roles/logging.logWriter`) Provides the permissions to write log entries. Lowest-level resources where you can grant this role: Project	`logging.logEntries.create` `logging.logEntries.route`
Private Logs Viewer (`roles/logging.privateLogViewer`) Provides permissions of the Logs Viewer role and in addition, provides read-only access to log entries in private logs. Lowest-level resources where you can grant this role: Project	`logging.buckets.get` `logging.buckets.list` `logging.exclusions.get` `logging.exclusions.list` `logging.links.get` `logging.links.list` `logging.locations.*` `logging.locations.get` `logging.locations.list` `logging.logEntries.list` `logging.logMetrics.get` `logging.logMetrics.list` `logging.logServiceIndexes.list` `logging.logServices.list` `logging.logs.list` `logging.operations.get` `logging.operations.list` `logging.privateLogEntries.list` `logging.queries.getShared` `logging.queries.listShared` `logging.queries.usePrivate` `logging.sinks.get` `logging.sinks.list` `logging.usage.get` `logging.views.access` `logging.views.get` `logging.views.list` `observability.scopes.get` `resourcemanager.projects.get`
Cloud Logging Service Agent (`roles/logging.serviceAgent`) Grants a Cloud Logging Service Account the ability to create and link datasets. Warning: Do not grant service agent roles to any principals except service agents.	`bigquery.datasets.create` `bigquery.datasets.get` `bigquery.datasets.link`
SQL Alert Writer ^Beta (`roles/logging.sqlAlertWriter`) Ability to write SQL Alerts.	`logging.sqlAlerts.*` `logging.sqlAlerts.create` `logging.sqlAlerts.update`
Logs View Accessor (`roles/logging.viewAccessor`) Ability to read logs in a view. Lowest-level resources where you can grant this role: Project	`logging.logEntries.download` `logging.views.access` `logging.views.listLogs` `logging.views.listResourceKeys` `logging.views.listResourceValues`
Logs Viewer (`roles/logging.viewer`) Provides access to view logs. Lowest-level resources where you can grant this role: Project	`logging.buckets.get` `logging.buckets.list` `logging.exclusions.get` `logging.exclusions.list` `logging.links.get` `logging.links.list` `logging.locations.*` `logging.locations.get` `logging.locations.list` `logging.logEntries.list` `logging.logMetrics.get` `logging.logMetrics.list` `logging.logScopes.get` `logging.logScopes.list` `logging.logServiceIndexes.list` `logging.logServices.list` `logging.logs.list` `logging.operations.get` `logging.operations.list` `logging.queries.getShared` `logging.queries.listShared` `logging.queries.usePrivate` `logging.sinks.get` `logging.sinks.list` `logging.usage.get` `logging.views.get` `logging.views.list` `observability.scopes.get` `resourcemanager.projects.get`

Logging Admin

(roles/logging.admin)

Provides all permissions necessary to use all features of Cloud Logging.

Lowest-level resources where you can grant this role:

Project

logging.buckets.copyLogEntries

logging.buckets.create

logging.buckets.createTagBinding

logging.buckets.delete

logging.buckets.deleteTagBinding

logging.buckets.get

logging.buckets.list

logging.buckets.listEffectiveTags

logging.buckets.listTagBindings

logging.buckets.undelete

logging.buckets.update

logging.exclusions.*

logging.exclusions.create
logging.exclusions.delete
logging.exclusions.get
logging.exclusions.list
logging.exclusions.update

logging.fields.access

logging.links.*

logging.links.create
logging.links.delete
logging.links.get
logging.links.list

logging.locations.*

logging.locations.get
logging.locations.list

logging.logEntries.*

logging.logEntries.create
logging.logEntries.download
logging.logEntries.list
logging.logEntries.route

logging.logMetrics.*

logging.logMetrics.create
logging.logMetrics.delete
logging.logMetrics.get
logging.logMetrics.list
logging.logMetrics.update

logging.logScopes.*

logging.logScopes.create
logging.logScopes.delete
logging.logScopes.get
logging.logScopes.list
logging.logScopes.update

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.*

logging.logs.delete
logging.logs.list

logging.notificationRules.*

logging.notificationRules.create
logging.notificationRules.delete
logging.notificationRules.get
logging.notificationRules.list
logging.notificationRules.update

logging.operations.*

logging.operations.cancel
logging.operations.get
logging.operations.list

logging.privateLogEntries.list

logging.queries.*

logging.queries.deleteShared
logging.queries.getShared
logging.queries.listShared
logging.queries.share
logging.queries.updateShared
logging.queries.usePrivate

logging.settings.*

logging.settings.get
logging.settings.update

logging.sinks.*

logging.sinks.create
logging.sinks.delete
logging.sinks.get
logging.sinks.list
logging.sinks.update

logging.sqlAlerts.*

logging.sqlAlerts.create
logging.sqlAlerts.update

logging.usage.get

logging.views.*

logging.views.access
logging.views.create
logging.views.delete
logging.views.get
logging.views.getIamPolicy
logging.views.list
logging.views.listLogs
logging.views.listResourceKeys
logging.views.listResourceValues
logging.views.setIamPolicy
logging.views.update

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Logs Bucket Writer

(roles/logging.bucketWriter)

Ability to write logs to a log bucket.

Lowest-level resources where you can grant this role:

Project

logging.buckets.write

Logs Configuration Writer

(roles/logging.configWriter)

Provides permissions to read and write the configurations of logs-based metrics and sinks for exporting logs.

Lowest-level resources where you can grant this role:

Project

logging.buckets.create

logging.buckets.createTagBinding

logging.buckets.delete

logging.buckets.deleteTagBinding

logging.buckets.get

logging.buckets.list

logging.buckets.listEffectiveTags

logging.buckets.listTagBindings

logging.buckets.undelete

logging.buckets.update

logging.exclusions.*

logging.exclusions.create
logging.exclusions.delete
logging.exclusions.get
logging.exclusions.list
logging.exclusions.update

logging.links.*

logging.links.create
logging.links.delete
logging.links.get
logging.links.list

logging.locations.*

logging.locations.get
logging.locations.list

logging.logMetrics.*

logging.logMetrics.create
logging.logMetrics.delete
logging.logMetrics.get
logging.logMetrics.list
logging.logMetrics.update

logging.logScopes.*

logging.logScopes.create
logging.logScopes.delete
logging.logScopes.get
logging.logScopes.list
logging.logScopes.update

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.notificationRules.*

logging.notificationRules.create
logging.notificationRules.delete
logging.notificationRules.get
logging.notificationRules.list
logging.notificationRules.update

logging.operations.*

logging.operations.cancel
logging.operations.get
logging.operations.list

logging.settings.*

logging.settings.get
logging.settings.update

logging.sinks.*

logging.sinks.create
logging.sinks.delete
logging.sinks.get
logging.sinks.list
logging.sinks.update

logging.sqlAlerts.*

logging.sqlAlerts.create
logging.sqlAlerts.update

logging.views.create

logging.views.delete

logging.views.get

logging.views.getIamPolicy

logging.views.list

logging.views.update

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Log Field Accessor

(roles/logging.fieldAccessor)

Ability to read restricted fields in a log bucket.

Lowest-level resources where you can grant this role:

Project

logging.fields.access

Log Link Accessor

(roles/logging.linkViewer)

Ability to see links for a bucket.

logging.links.get

logging.links.list

Logs Writer

(roles/logging.logWriter)

Provides the permissions to write log entries.

Lowest-level resources where you can grant this role:

Project

logging.logEntries.create

logging.logEntries.route

Private Logs Viewer

(roles/logging.privateLogViewer)

Provides permissions of the Logs Viewer role and in addition, provides read-only access to log entries in private logs.

Lowest-level resources where you can grant this role:

Project

logging.buckets.get

logging.buckets.list

logging.exclusions.get

logging.exclusions.list

logging.links.get

logging.links.list

logging.locations.*

logging.locations.get
logging.locations.list

logging.logEntries.list

logging.logMetrics.get

logging.logMetrics.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.operations.get

logging.operations.list

logging.privateLogEntries.list

logging.queries.getShared

logging.queries.listShared

logging.queries.usePrivate

logging.sinks.get

logging.sinks.list

logging.usage.get

logging.views.access

logging.views.get

logging.views.list

observability.scopes.get

resourcemanager.projects.get

Cloud Logging Service Agent

(roles/logging.serviceAgent)

Grants a Cloud Logging Service Account the ability to create and link datasets.

bigquery.datasets.create

bigquery.datasets.get

bigquery.datasets.link

SQL Alert Writer ^Beta

(roles/logging.sqlAlertWriter)

Ability to write SQL Alerts.

logging.sqlAlerts.*

logging.sqlAlerts.create
logging.sqlAlerts.update

Logs View Accessor

(roles/logging.viewAccessor)

Ability to read logs in a view.

Lowest-level resources where you can grant this role:

Project

logging.logEntries.download

logging.views.access

logging.views.listLogs

logging.views.listResourceKeys

logging.views.listResourceValues

Logs Viewer

(roles/logging.viewer)

Provides access to view logs.

Lowest-level resources where you can grant this role:

Project

logging.buckets.get

logging.buckets.list

logging.exclusions.get

logging.exclusions.list

logging.links.get

logging.links.list

logging.locations.*

logging.locations.get
logging.locations.list

logging.logEntries.list

logging.logMetrics.get

logging.logMetrics.list

logging.logScopes.get

logging.logScopes.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.operations.get

logging.operations.list

logging.queries.getShared

logging.queries.listShared

logging.queries.usePrivate

logging.sinks.get

logging.sinks.list

logging.usage.get

logging.views.get

logging.views.list

observability.scopes.get

resourcemanager.projects.get

En las siguientes secciones, se proporciona información adicional para ayudarte a decidir qué roles se aplican a los casos de uso de tus principales.

Funciones de Logging

Para permitir que un usuario realice todas las acciones en Logging, otórgale el rol de administrador de Logging (roles/logging.admin).
Para permitir que un usuario cree y modifique configuraciones de registros, otórgale el rol de escritor de configuración de registros (roles/logging.configWriter). Este rol te permite crear o modificar cualquiera de los siguientes elementos:
- Vistas de Analytics
Este rol no es suficiente para crear métricas basadas en registros ni políticas de alertas basadas en registros. Para obtener información sobre los roles necesarios para estas tareas, consulta Permisos para las métricas basadas en registros y Permisos para las políticas de alertas basadas en registros.
Para permitir que un usuario lea registros en los buckets _Required y _Default, o bien use las páginas Explorador de registros y Análisis de registros, otorga uno de los siguientes roles:
- Para acceder a todos los registros del bucket _Required y a la vista _Default del bucket _Default, otorga el rol de visualizador de registros (roles/logging.viewer).
- Para acceder a todos los registros de los buckets _Required y _Default, incluidos los registros de acceso a los datos, otorga el rol de Visualizador de registros privados (roles/logging.privateLogViewer).
Para permitir que un usuario lea los registros en todas las vistas de registros que se encuentran en un proyecto, otórgale el rol de IAM de roles/logging.viewAccessor en el proyecto.
Para permitir que un usuario solo lea registros en una vista de registro específica, tienes dos opciones:
- Crea una política de IAM para la vista de registros y, luego, agrega una vinculación de IAM a esa política que otorgue a la principal acceso a la vista de registros.
- Otorga a la principal el rol de IAM de roles/logging.viewAccessor en el proyecto que contiene la vista de registros, pero adjunta una condición de IAM para restringir el otorgamiento a la vista de registros específica.
Para obtener información sobre cómo crear vistas de registros y otorgar acceso, consulta Configura vistas de registros en un bucket de registros.

Para otorgar a un usuario acceso a los campos LogEntry restringidos, si los hay, en un bucket de registros determinado, otórgale el rol de Logs Field Accessor (roles/logging.fieldAccessor). Para obtener más información, consulta Configura el acceso a nivel del campo.

Para permitir que un usuario escriba registros con la API de Logging, otórgale el rol de escritor de registros (roles/logging.logWriter). Este rol no otorga permisos de lectura.
Para permitir que la cuenta de servicio de un receptor enrute registros a un bucket en un proyecto Google Cloud diferente, otorga a la cuenta de servicio el rol de escritor de buckets de registros (roles/logging.bucketWriter). Para obtener instrucciones sobre cómo otorgar permisos a una cuenta de servicio, consulta Cómo establecer permisos de destino.

Roles a nivel del proyecto

Para otorgar acceso de visualización a la mayoría de los servicios de Google Cloud , otorga el rol de visualizador (roles/viewer).

Este rol incluye todos los permisos otorgados por el rol de visualizador de registros (roles/logging.viewer).
Para otorgar acceso de editor a la mayoría de los servicios de Google Cloud , otorga el rol de editor (roles/editor).

Este rol incluye todos los permisos otorgados por el rol de Visualizador de registros (roles/logging.viewer) y los permisos para escribir entradas de registro, borrar registros y crear métricas basadas en registros. Sin embargo, este rol no permite que los usuarios creen receptores, lean registros de auditoría de acceso a los datos que se encuentran en el bucket _Default ni lean registros que se encuentran en buckets de registros definidos por el usuario.
Para otorgar acceso completo a la mayoría de los servicios de Google Cloud , otorga el rol de propietario (roles/owner).

Otorgando funciones

Para obtener información sobre cómo otorgar un rol a un principal, consulta Otorga, cambia y revoca el acceso a los recursos.

Se puede asignar varios roles al mismo usuario. Para obtener una lista de los permisos que contiene una función, consulta la página sobre cómo obtener los metadatos de la función.

Si intentas acceder a un recurso de Google Cloud y no tienes los permisos necesarios, comunícate con el principal que aparece como el Propietario del recurso.

Funciones personalizadas

A fin de crear una función personalizada con permisos de Logging, haz lo siguiente:

Para una función que otorga permisos a la API de Logging, elige los permisos de Permisos de la API y, luego, sigue las instrucciones para crear un rol personalizado.
Si deseas una función que otorgue permisos para usar el Explorador de registros, elige entre los grupos de permisos en Permisos de la consola y, luego, sigue las instrucciones para crear un rol personalizado.
Para obtener un rol que otorgue permisos para usar gcloud logging, consulta la sección Permisos de la línea de comandos en esta página y, luego, sigue las instrucciones para crear un rol personalizado.

Para obtener más información sobre los roles personalizados, consulta Comprende los roles personalizados de IAM.

Permisos de Cloud Logging

En la siguiente tabla, se incluye una lista parcial de los permisos necesarios para funciones específicas de Cloud Logging. Esta tabla puede ayudarte a identificar los permisos que necesitas para usar páginas como el Explorador de registros.

En la tabla, a.b.{x,y} significa a.b.x y a.b.y.

Actividad de Console	Permisos necesarios
Acceso de solo lectura mínimo	`logging.logEntries.list logging.logs.list logging.logServiceIndexes.list logging.logServices.list resourcemanager.projects.get`
Cómo ver los registros de auditoría de acceso a los datos	`logging.privateLogEntries.list`
Visualiza las métricas basadas en registros	`logging.logMetrics.{list, get}`
Ver receptores	`logging.sinks.{list, get}`
Visualiza el uso de los registros	`logging.usage.get`
Descargar registros	`logging.logEntries.{list, download}` Solo se necesita uno de estos permisos para descargar registros. Los roles que contienen los permisos para descargar registros deben otorgarse a nivel del proyecto. No puedes descargar registros si se otorga un rol que contiene estos permisos en el archivo de política de IAM de una vista de registros.
Enumera y visualiza los permisos de registros	`logging.logScopes.{get, list}`
Cómo ver el alcance del registro predeterminado	`observability.scopes.get`
Excluye registros	`logging.exclusions.{list, create, get, update, delete}` Cuando crees un rol personalizado que incluya permisos para administrar filtros de exclusión, agrega los permisos `logging.sinks.` al rol en lugar de agregar los permisos `logging.exclusions.`.
Crea y usa receptores	`logging.sinks.{list, create, get, update, delete}` Cuando creas un receptor, también debes otorgarle a la cuenta de servicio un rol de IAM que le permita escribir entradas de registro en el destino. Para obtener más información, consulta Cómo establecer permisos de destino. Una vez que tus entradas de registro se enrutan a un destino compatible, el acceso a ellas se controla por completo con los permisos y roles de IAM en el destino.
Crea alertas basadas en registros	Consulta Roles necesarios para crear y usar políticas de alertas basadas en registros.
Crea métricas basadas en registros	`logging.logMetrics.{list, create, get, update, delete}` Para obtener información sobre otros roles de IAM que necesitas crear y usar métricas basadas en registros, consulta Roles necesarios para crear y usar métricas basadas en registros.
Cómo guardar y usar consultas privadas	`logging.queries.usePrivate` `logging.queries.{listShared,getShared}`
Cómo guardar y usar consultas compartidas	`logging.queries.{share, getShared, updateShared, deleteShared, listShared}`
Cómo usar las búsquedas recientes	`logging.queries.{create, list}`
Crea y administra alcances de registros	`logging.logScopes.{create, delete, get, list, update}`
Cómo establecer y administrar el ámbito de registros predeterminado	`observability.scopes.{get, update}`
Crea y administra vistas de Analytics	`observability.analyticsViews.{create, delete, get, list, update}`
Crea y administra conjuntos de datos vinculados	`logging.links.{create, delete, get, list}` Es posible que necesites roles de IAM adicionales para consultar el conjunto de datos vinculado. Por ejemplo, estos permisos no te otorgan acceso a la interfaz de BigQuery. Para obtener más información, consulta BigQuery: Control de acceso con IAM.

Permisos para la línea de comandos

Los comandos gcloud logging están controlados por los permisos de IAM.

Para usar uno de los comandos gcloud logging, las principales deben tener el permiso serviceusage.services.use.

Un principal también debe tener el rol de IAM que corresponde al recurso del registro y al caso de uso. Para obtener más información, consulta los permisos de la interfaz de línea de comandos.

Roles obligatorios para crear y usar métricas basadas en registros

A continuación, se incluye un resumen de los roles y permisos comunes que una principal necesita para acceder a las métricas basadas en registros:

El rol de Escritor de configuración de registros (roles/logging.configWriter) permite que los principales enumeren, creen, obtengan, actualicen y borren métricas basadas en registros.
El rol de Visualizador de registros (roles/logging.viewer) contiene permisos para ver las métricas existentes. Específicamente, una principal necesita los permisos logging.logMetrics.get y logging.logMetrics.list para ver las métricas existentes.
El rol de Visualizador de Monitoring (roles/monitoring.viewer) contiene los permisos para leer datos de TimeSeries. Específicamente, una principal necesita el permiso monitoring.timeSeries.list para leer datos de series temporales.
Los roles de Administrador de Logging (roles/logging.admin), Editor del proyecto (roles/editor) y Propietario del proyecto (roles/owner) contienen los permisos para crear métricas basadas en registros. Específicamente, una principal necesita el permiso logging.logMetrics.create para crear métricas basadas en registros.

Roles necesarios para crear y usar políticas de alertas basadas en registros

Para crear y administrar políticas de alertas basadas en registros, una principal necesita los siguientes roles y permisos de Logging y Monitoring:

Para obtener los permisos que necesitas para crear políticas de alertas basadas en registros en Monitoring y crear las reglas de notificación de Logging asociadas, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:
- Editor de AlertPolicy de Monitoring (roles/monitoring.alertPolicyEditor)
- Escritor de configuración de registros (roles/logging.configWriter)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para crear políticas de alertas basadas en registros en Monitoring y crear las reglas de notificación de Logging asociadas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios

Se requieren los siguientes permisos para crear políticas de alertas basadas en registros en Monitoring y para crear las reglas de notificación de Logging asociadas:
- monitoring.alertPolicies.create
- logging.notificationRules.create
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Si creas tu política de alertas en Google Cloud CLI, también se requiere el siguiente rol o permiso:

Para obtener el permiso que necesitas para crear una política de alertas con Google Cloud CLI, pídele a tu administrador que te otorgue el rol de IAM de Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene el permiso serviceusage.services.use, que se requiere para crear una política de alertas con Google Cloud CLI.
También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.

Si tu proyecto Google Cloud ya tiene canales de notificación, puedes configurar tu política de alertas para que use un canal existente sin roles ni permisos adicionales. Sin embargo, si necesitas crear un canal de notificaciones para tu política de alertas basadas en registros, se requiere el siguiente rol o permiso:

Para obtener el permiso que necesitas para crear un canal de notificaciones para una política de alertas basada en registros, pídele a tu administrador que te otorgue el rol de IAM de editor de Monitoring NotificationChannel (roles/monitoring.notificationChannelEditor) en tu proyecto.

Este rol predefinido contiene el permiso monitoring.notificationChannels.create, que se requiere para crear un canal de notificación para una política de alertas basada en registros.

Permisos para las políticas de alertas basadas en SQL

Las políticas de alertas basadas en SQL evalúan los resultados de una consulta en SQL que se ejecuta en los datos de grupos de entradas de registro. Para obtener información sobre los roles necesarios para crear y administrar políticas de alertas basadas en SQL, consulta la sección Antes de comenzar en Supervisa los resultados de tus consulta en SQL con una política de alertas.

Niveles de acceso de Logging

Los niveles de acceso son el método heredado de especificar permisos para las cuentas de servicio en tus instancias de VM de Compute Engine.

Los siguientes niveles de acceso aplican a la API de Logging:

Nivel de acceso	Permisos otorgados
https://www.googleapis.com/auth/logging.read	`roles/logging.viewer`
https://www.googleapis.com/auth/logging.write	`roles/logging.logWriter`
https://www.googleapis.com/auth/logging.admin	Acceso completo a la API de Logging.
https://www.googleapis.com/auth/cloud-platform	Acceso completo a la API de Logging y a todas las demás APIs habilitadas Google Cloud .

Para obtener información sobre cómo usar este método heredado para establecer los niveles de acceso de tus cuentas de servicio, consulta Permisos de acceso.

Control de acceso con IAM Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Descripción general

Funciones predefinidas

Logging Admin

Logs Bucket Writer

Logs Configuration Writer

Log Field Accessor

Log Link Accessor

Logs Writer

Private Logs Viewer

Cloud Logging Service Agent

SQL Alert Writer Beta

Logs View Accessor

Logs Viewer

Funciones de Logging

Roles a nivel del proyecto

Otorgando funciones

Funciones personalizadas

Permisos de Cloud Logging

Permisos para la línea de comandos

Roles obligatorios para crear y usar métricas basadas en registros

Roles necesarios para crear y usar políticas de alertas basadas en registros

Permisos necesarios

Permisos para las políticas de alertas basadas en SQL

Niveles de acceso de Logging

Control de acceso con IAM

SQL Alert Writer ^Beta