Zugriff mit IAM steuern

Für die Verwendung von Monitoring benötigen Sie die entsprechenden IAM-Berechtigungen (Identity and Access Management). Im Allgemeinen ist jeder REST-Methode in einer API eine Berechtigung zugeordnet. Wenn Sie die Methode oder eine Console-Funktion verwenden möchten, die auf der Methode basiert, benötigen Sie die Berechtigung zur Verwendung der entsprechenden Methode. Berechtigungen werden Nutzern nicht direkt gewährt, sondern indirekt über Rollen. In Rollen sind mehrere Berechtigungen zusammengefasst, was die Verwaltung vereinfacht:

Rollen für häufig verwendete Kombinationen von Berechtigungen sind für Sie vordefiniert. Sie können jedoch auch eigene Kombinationen von Berechtigungen erstellen. Dazu erstellen Sie benutzerdefinierte IAM-Rollen.

Best Practice

Wir empfehlen, Google-Gruppen zum Verwalten des Zugriffs auf Google Cloud-Projekte zu erstellen:

VPC Service Controls

Verwenden Sie neben IAM auch VPC Service Controls, um den Zugriff auf Monitoring-Daten weiter zu steuern.

VPC Service Controls bietet eine zusätzliche Sicherheit für Cloud Monitoring und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie einem Dienstperimeter einen Messwertbereichhinzufügen. Er schützt Cloud Monitoring-Ressourcen und -Dienste vor Anfragen, die ihren Ursprung außerhalb des Perimeters haben.

Weitere Informationen zu Dienstperimetern finden Sie in der Dokumentation zum Konfigurieren von VPC Service Controls-Dienstperimetern.

Informationen zur Unterstützung von VPC Service Controls durch Monitoring, einschließlich bekannter Einschränkungen, finden Sie in der Monitoring VPC Service Controls-Dokumentation.

Zugriff auf Cloud Monitoring gewähren

Sie können IAM-Rollen für Principals über die Seite „Identity and Access Management“ in der Google Cloud Console oder über die Google Cloud CLI verwalten. Cloud Monitoring bietet jedoch eine vereinfachte Benutzeroberfläche, mit der Sie Monitoring-spezifische Rollen, Rollen auf Projektebene und die gängigen Rollen für Cloud Logging und Cloud Trace verwalten können.

So gewähren Sie Hauptkonten Zugriff auf Monitoring, Cloud Logging oder Cloud Trace oder gewähren eine Rolle auf Projektebene:

Console

  1. Rufen Sie in der Google Cloud Console die Seite  Berechtigungen auf:

    Gehen Sie zu Berechtigungen.

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

    Auf der Seite Berechtigungen werden nicht alle Hauptkonten angezeigt. Es werden nur Hauptkonten aufgeführt, die eine Rolle auf Projektebene oder eine Rolle haben, die speziell für Monitoring, Logging oder Trace bestimmt ist.

    Mit den Optionen auf dieser Seite können Sie alle Hauptkonten aufrufen, deren Rollen eine Monitoring-Berechtigung enthalten.

  2. Klicken Sie auf Zugriff erlauben.

  3. Klicken Sie auf Neue Hauptkonten und geben Sie den Nutzernamen für das Hauptkonto ein. Sie können mehrere Hauptkonten hinzufügen.

  4. Maximieren Sie Rolle auswählen, wählen Sie einen Wert aus dem Menü Nach Produkt oder Dienst und dann eine Rolle aus dem Menü Rollen aus:

    Auswahl Nach Produkt oder Dienstleistung Auswahl der Rollen Beschreibung
    Monitoring Monitoring-Betrachter Monitoring-Daten und Konfigurationsinformationen aufrufen Hauptkonten mit dieser Rolle können beispielsweise benutzerdefinierte Dashboards und Richtlinien für Benachrichtigungen aufrufen.
    Monitoring Monitoring-Editor Monitoring-Daten aufrufen und Konfigurationen erstellen und bearbeiten So können Nutzer mit dieser Rolle beispielsweise benutzerdefinierte Dashboards und Benachrichtigungsrichtlinien erstellen.
    Monitoring Monitoring-Administrator Voller Zugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API Sie können Monitoring-Daten aufrufen, Konfigurationen erstellen und bearbeiten sowie den Messwertumfang ändern.
    Cloud Trace Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole, Lesezugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen.
    Cloud Trace Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole, Lese-/Schreibzugriff auf Traces und Lese-/Schreibzugriff auf Senken. Weitere Informationen finden Sie unter Trace-Rollen.
    Logging Loganzeige Zugriff auf Protokolle Weitere Informationen finden Sie unter Rollen für die Protokollierung.
    Logging Logging-Administrator Vollständiger Zugriff auf alle Funktionen von Cloud Logging. Weitere Informationen finden Sie unter Rollen für die Protokollierung.
    Projekt Betrachter Lesezugriff auf die meisten Google Cloud-Ressourcen.
    Projekt Bearbeiter Kann die meisten Google Cloud-Ressourcen ansehen, erstellen, aktualisieren und löschen.
    Projekt Inhaber Vollständiger Zugriff auf die meisten Google Cloud-Ressourcen.

  5. Optional: Wenn Sie denselben Hauptkonten eine weitere Rolle zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und wiederholen Sie den vorherigen Schritt.

  6. Klicken Sie auf Speichern.

In den vorherigen Schritten wurde beschrieben, wie Sie einem Hauptkonto bestimmte Rollen über die Monitoring-Seiten in der Google Cloud Console zuweisen. Für diese Rollen werden auf dieser Seite auch die Optionen „Bearbeiten“ und „Löschen“ unterstützt:

  • Wenn Sie Rollen für ein Hauptkonto entfernen möchten, klicken Sie auf das Kästchen neben dem Hauptkonto und dann auf Zugriff entfernen.

  • Klicken Sie auf Bearbeiten, um die Rollen für ein Hauptkonto zu bearbeiten. Klicken Sie nach dem Aktualisieren der Einstellungen auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um die Rolle monitoring.viewer oder monitoring.editor zu erteilen.

Beispiel:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Mit dem Befehl gcloud projects get-iam-policy werden die zugewiesenen Rollen bestätigt:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Vordefinierte Rollen

In diesem Abschnitt werden einige der IAM-Rollen aufgeführt, die von Cloud Monitoring vordefiniert sind.

Monitoring-Rollen

Durch die folgenden Rollen werden allgemeine Berechtigungen für Monitoring gewährt:

Name
Titel		 Berechtigungen
roles/monitoring.viewer
Monitoring-Betrachter		 Ermöglicht Lesezugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API.
roles/monitoring.editor
Monitoring-Bearbeiter		 Ermöglicht Lese- und Schreibzugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API.
roles/monitoring.admin
Monitoring-Administrator		 Ermöglicht vollen Zugriff auf Monitoring in der Google Cloud Console und der Cloud Monitoring API.

Die folgende Rolle wird von Dienstkonten für den Schreibzugriff verwendet:

Name
Titel		 Beschreibung
roles/monitoring.metricWriter
Monitoring-Messwert-Autor

Diese Rolle ist für Dienstkonten und Kundenservicemitarbeiter gedacht.
Ermöglicht keinen Zugriff auf Monitoring in der Google Cloud Console.
Ermöglicht das Schreiben von Monitoring-Daten in einem Messwertbereich.

Rollen für Benachrichtigungsrichtlinien

Durch die folgenden Rollen werden Berechtigungen für Benachrichtigungsrichtlinien gewährt:

Name
Titel		 Beschreibung
roles/monitoring.alertPolicyViewer
Betrachter von Monitoring-Benachrichtigungsrichtlinien		 Gewährt Lesezugriff auf Benachrichtigungsrichtlinien.
roles/monitoring.alertPolicyEditor
Bearbeiter von Monitoring-Benachrichtigungsrichtlinien		 Gewährt Lese- und Schreibzugriff auf Benachrichtigungsrichtlinien.

Dashboard-Rollen

Durch die folgenden Rollen werden Berechtigungen nur für Dashboards gewährt:

Name
Titel		 Beschreibung
roles/monitoring.dashboardViewer
Betrachter von Monitoring-Dashboard-Konfigurationen		 Gewährt Lesezugriff auf Dashboard-Konfigurationen.
roles/monitoring.dashboardEditor
Bearbeiter der Monitoring-Dashboard-Konfiguration		 Gewährt Lese-/Schreibzugriff auf Dashboard-Konfigurationen.

Rollen für Vorfälle

Durch die folgenden Rollen werden Berechtigungen nur für Vorfälle gewährt:

Name
Titel		 Beschreibung
roles/monitoring.cloudConsoleIncidentViewer
Monitoring Cloud Console Incident Viewer		 Gewährt Zugriff auf die Anzeige von Vorfällen über die Google Cloud Console.
roles/monitoring.cloudConsoleIncidentEditor
Monitoring Cloud Console Incident Editor		 Gewährt Zugriff zum Aufrufen, Anerkennen und Schließen von Vorfällen über die Google Cloud Console.

Informationen zum Beheben von IAM-Berechtigungsfehlern beim Ansehen von Vorfällen finden Sie unter Details zu Vorfällen können aufgrund eines Berechtigungsfehlers nicht angezeigt werden.

Rollen für Benachrichtigungskanäle

Durch die folgenden Rollen werden Berechtigungen nur für Benachrichtigungskanäle gewährt:

Name
Titel		 Beschreibung
roles/monitoring.notificationChannelViewer
Betrachter von Monitoring-Benachrichtigungskanälen		 Gewährt Lesezugriff auf Benachrichtigungskanäle.
roles/monitoring.notificationChannelEditor
Bearbeiter von Monitoring-Benachrichtigungskanälen		 Gewährt Lese- und Schreibzugriff auf Benachrichtigungskanäle.

Rollen für das Zurückstellen von Benachrichtigungen

Durch die folgenden Rollen werden Berechtigungen zum Pausieren von Benachrichtigungen gewährt:

Name
Titel		 Beschreibung
roles/monitoring.snoozeViewer
Monitoring Snooze Viewer		 Gewährt Lesezugriff auf Schlummerfunktionen.
roles/monitoring.snoozeEditor
Monitoring Snooze Editor		 Gewährt Lese-/Schreibzugriff auf Schlummerfunktionen.

Rollen für die Dienstüberwachung

Durch die folgenden Rollen werden Berechtigungen zum Verwalten von Diensten gewährt:

Name
Titel		 Beschreibung
roles/monitoring.servicesViewer
Betrachter von Monitoring-Diensten		 Gewährt Lesezugriff auf Dienste.
roles/monitoring.servicesEditor
Bearbeiter von Monitoring-Diensten		 Gewährt Lese- und Schreibzugriff auf Dienste.

Weitere Informationen zum Dienst-Monitoring finden Sie unter SLO-Monitoring.

Rollen für Verfügbarkeitsdiagnosen-Konfigurationen

Durch die folgenden Rollen werden Berechtigungen nur für Verfügbarkeitsdiagnosen-Konfigurationen gewährt:

Name
Titel		 Beschreibung
roles/monitoring.uptimeCheckConfigViewer
Betrachter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen		 Gewährt Lesezugriff auf Verfügbarkeitsdiagnosekonfigurationen.
roles/monitoring.uptimeCheckConfigEditor
Bearbeiter von Monitoring-Verfügbarkeitsdiagnosen-Konfigurationen		 Gewährt Lese-/Schreibzugriff auf Verfügbarkeitsdiagnosekonfigurationen.

Rollen für die Konfiguration von Messwertbereichen

Durch die folgenden Rollen werden allgemeine Berechtigungen für Messwertbereiche gewährt:

Name
Titel		 Beschreibung
roles/monitoring.metricsScopesViewer
Betrachter von Monitoring-Messwertbereichen		 Gewährt Lesezugriff auf Messwertbereiche.
roles/monitoring.metricsScopesAdmin
Administrator von Monitoring-Messwertbereichen		 Gewährt Lese- und Schreibzugriff auf Messwertbereiche.

Berechtigungen für vordefinierte Rollen

In diesem Abschnitt werden die Berechtigungen aufgeführt, die vordefinierten Rollen zugewiesen sind, die mit Monitoring verknüpft sind.

Weitere Informationen zu vordefinierten Rollen finden Sie unter IAM: Rollen und Berechtigungen. Informationen zur Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.

Berechtigungen für Monitoring-Rollen

Role Permissions

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.delete
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Berechtigungen für Ops Config Monitoring-Rollen

Role Permissions

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Berechtigungen für Stackdriver-Rollen

Role Permissions

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Monitoring-Berechtigungen in Google Cloud-Rollen

Die Google Cloud-Rollen beinhalten die folgenden Berechtigungen:

Name
Titel		 Berechtigungen
roles/viewer
Betrachter 		Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.viewer.
roles/editor
Bearbeiter

Die Monitoring-Berechtigungen sind mit Ausnahme der Berechtigung stackdriver.projects.edit dieselben wie in roles/monitoring.editor. Die Rolle roles/editor enthält nicht die Berechtigung stackdriver.projects.edit.

Diese Rolle gewährt keine Berechtigung zum Ändern des Gültigkeitsbereichs von Messwerten. Wenn Sie bei der Verwendung der API den Gültigkeitsbereich von Messwerten ändern möchten, muss Ihre Rolle die Berechtigung monitoring.metricsScopes.link enthalten. Wenn Sie in der Google Cloud Console den Gültigkeitsbereich von Messwerten ändern möchten, muss Ihre Rolle entweder die Berechtigung monitoring.metricsScopes.link oder die Rolle roles/monitoring.editor umfassen.
roles/owner
Inhaber 		Die Monitoring-Berechtigungen sind dieselben wie in roles/monitoring.admin.

Benutzerdefinierte Rollen

Sie können eine benutzerdefinierte Rolle erstellen, wenn Sie einem Hauptkonto eine eingeschränktere Berechtigung gewähren möchten als die, die mit vordefinierten Rollen gewährt werden. Wenn Sie beispielsweise Assured Workloads einrichten, weil Sie Anforderungen an den Datenstandort oder an die Impact Level 4 (IL4) haben, sollten Sie keine Uptime-Prüfungen verwenden, da es keine Garantie dafür gibt, dass die Daten der Uptime-Prüfung an einem bestimmten geografischen Standort aufbewahrt werden. Wenn Sie die Verwendung von Verfügbarkeitsdiagnosen verhindern möchten, erstellen Sie eine Rolle, die keine Berechtigungen mit dem Präfix monitoring.uptimeCheckConfigs enthält.

So erstellen Sie eine benutzerdefinierte Rolle mit Monitoring-Berechtigungen:

  • Wählen Sie für eine Rolle, die nur Berechtigungen für die Monitoring API gewährt, eine der Berechtigungen aus dem Abschnitt Berechtigungen und vordefinierte Rollen aus.

  • Wählen Sie für eine Rolle, die Berechtigungen für die Überwachung in der Google Cloud Console gewährt, im Abschnitt Monitoring-Rollen eine Berechtigungsgruppe aus.

  • Beziehen Sie für eine Rolle, mit der Monitoring-Daten geschrieben werden können, die Berechtigungen der Rolle roles/monitoring.metricWriter aus dem Abschnitt Berechtigungen und vordefinierte Rollen ein.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie hier.

Zugriffsbereiche für Compute Engine

Zugriffsbereiche sind die alte Methode zum Festlegen von Berechtigungen für Ihre Compute Engine-VM-Instanzen. Für Monitoring gelten die folgenden Zugriffsbereiche:

Zugriffsbereich Gewährte Berechtigungen
https://www.googleapis.com/auth/monitoring.read Die gleichen Berechtigungen wie in roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write Die gleichen Berechtigungen wie in roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Vollzugriff auf Monitoring
https://www.googleapis.com/auth/cloud-platform Uneingeschränkter Zugriff auf alle aktivierten Cloud APIs

Weitere Informationen finden Sie unter Zugriffsbereiche.

Best Practice: Es empfiehlt sich, Ihren VM-Instanzen den umfassendsten Zugriffsbereich (cloud-platform) zu geben und dann über IAM-Rollen den Zugriff auf bestimmte APIs und Vorgänge einzuschränken. Weitere Informationen finden Sie unter Dienstkontoberechtigungen.