Se usó la API de Cloud Translation para traducir esta página.

Controla el acceso con IAM

Para usar Monitoring, debes tener los permisos de Identity and Access Management (IAM) adecuados. En general, cada método REST en una API tiene un permiso asociado. Para usar el método o una función de la consola que se basa en él, debes tener permiso para usar el método correspondiente. Los permisos no se otorgan directamente a los usuarios, sino que se otorgan indirectamente a través de roles, que agrupan varios permisos para facilitar su administración:

Para obtener información sobre el control de acceso, consulta Conceptos relacionados con la administración del acceso.

Para obtener información sobre cómo otorgar roles a las principales, consulta Otorga acceso a Cloud Monitoring.

Las funciones para combinaciones comunes de permisos están predefinidas. Sin embargo, también puedes crear tus propias combinaciones de permisos si creas roles personalizados de IAM.

Práctica recomendada

Te recomendamos que crees Grupos de Google para administrar el acceso a los proyectos deGoogle Cloud :

Para obtener más información, consulta Administra grupos en la consola de Google Cloud .
Para obtener información sobre cómo establecer límites en los roles, consulta Establece límites en el otorgamiento de roles.
Para obtener una lista completa de los roles y permisos de IAM, consulta la Referencia de roles básicos y predefinidos de IAM.

Controles del servicio de VPC

Para tener más control sobre el acceso a los datos de supervisión, usa los Controles del servicio de VPC además de IAM.

Los Controles del servicio de VPC brindan seguridad adicional para Cloud Monitoring a fin de mitigar el riesgo de robo de datos. Si usas los Controles del servicio de VPC, puedes agregar un permiso de métricas a un perímetro de servicio que proteja los recursos y servicios de Cloud Monitoring de las solicitudes que se originan fuera del perímetro.

Para obtener más información sobre los perímetros de servicio, consulta la documentación de configuración del perímetro de servicio de los Controles del servicio de VPC.

Para obtener información sobre la compatibilidad de Monitoring con los controles del servicio de VPC, incluidas las limitaciones conocidas, consulta la documentación de los controles del servicio de VPC.

Otorga acceso a Cloud Monitoring

Para administrar los roles de IAM de las entidades principales, puedes usar la página Identity and Access Management en la Google Cloud consola o en Google Cloud CLI. Sin embargo, Cloud Monitoring proporciona una interfaz simplificada que te permite administrar tus roles específicos de Monitoring, los roles a nivel del proyecto y los roles comunes para Cloud Logging y Cloud Trace.

Para otorgar a las principales acceso a Monitoring, Cloud Logging o Cloud Trace, o bien para otorgar un rol a nivel del proyecto, haz lo siguiente:

Console

En la consola de Google Cloud , ve a la página Permisos:
Ir a Permisos

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

En la página Permissions, no se muestran todas las principales. Solo se enumeran los principales que tienen un rol a nivel del proyecto o un rol específico para Monitoring, Logging o Trace.

Las opciones de esta página te permiten ver todas las principales cuyos roles incluyen cualquier permiso de Monitoring.
Haz clic en Grant access.
Haz clic en Principales nuevas y, luego, ingresa el nombre de usuario de la principal. Puedes agregar varias entidades principales.

Expande Selecciona un rol, selecciona un valor del menú Por producto o servicio y, luego, selecciona un rol del menú Roles:

Selección de Por producto o servicio	Selección de roles	Descripción
Supervisión	Visualizador de Monitoring	Ver los datos de Monitoring y la información de configuración Por ejemplo, los principales con este rol pueden ver paneles personalizados y políticas de alertas.
Supervisión	Editor de Monitoring	Ver los datos de Monitoring, y crear y editar configuraciones Por ejemplo, las entidades principales con este rol pueden crear paneles personalizados y políticas de alertas.
Supervisión	Administrador de Monitoring	Acceso completo a Monitoring en la consola y la API de Cloud Monitoring. Google Cloud Puedes ver los datos de Monitoring, crear y editar configuraciones, y modificar el alcance de las métricas.
Cloud Trace	Usuario de Cloud Trace	Acceso completo a la consola de Trace, acceso de lectura a los seguimientos y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Roles de Trace.
Cloud Trace	Administrador de Cloud Trace	Acceso completo a la consola de Trace, acceso de lectura y escritura a los seguimientos y acceso de lectura y escritura a los receptores. Para obtener más información, consulta Roles de Trace.
Logging	Visor de registros	Ver el acceso a los registros Para obtener más información, consulta Roles de registro.
Logging	Administrador de Logging	Tiene acceso completo a todas las funciones de Cloud Logging. Para obtener más información, consulta Roles de registro.
Proyecto	Visualizador	Tiene acceso de lectura a la mayoría de los recursos de Google Cloud .
Proyecto	Editor	Puede ver, crear, actualizar y borrar la mayoría de los Google Cloud recursos.
Proyecto	Propietario	Acceso completo a la mayoría de los recursos Google Cloud .

Opcional: Para otorgar otro rol a los mismos principales, haz clic en Agregar otro rol y repite el paso anterior.
Haz clic en Guardar.

En los pasos anteriores, se describe cómo otorgar ciertos roles a una principal con las páginas de Monitoring en la consola de Google Cloud . Para estos roles, esta página también admite opciones de edición y eliminación:

Para quitar roles de un principal, selecciona la casilla junto al principal y, luego, haz clic en Quitar acceso.
Para editar los roles de una principal, haz clic en Editar. Después de actualizar la configuración, haz clic en Guardar.

gcloud

Usa el comando gcloud projects add-iam-policy-binding para otorgar la función monitoring.viewer o monitoring.editor.

Por ejemplo:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Puedes confirmar las funciones otorgadas con el comando gcloud projects get-iam-policy:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Funciones predefinidas

En esta sección, se incluye un subconjunto de los roles de IAM predefinidos por Cloud Monitoring.

Funciones de Monitoring

Las siguientes funciones otorgan permisos para Monitoring:

Título del nombre	Permisos incluidos
`roles/monitoring.viewer` Visualizador de Monitoring	Otorga acceso de solo lectura a Monitoring en la Google Cloud consola y la API de Cloud Monitoring.
`roles/monitoring.editor` Editor de Monitoring	Otorga acceso de lectura y escritura a Monitoring en la Google Cloud consola y la API de Cloud Monitoring.
`roles/monitoring.admin` Administrador de Monitoring	Otorga acceso completo a Monitoring en la Google Cloud consola y la API de Cloud Monitoring.

Las cuentas de servicio usan la siguiente función para el acceso de solo escritura:

Título del nombre	Descripción
`roles/monitoring.metricWriter` Escritor de métricas de Monitoring	Este rol es para cuentas de servicio y agentes. No permite el acceso a Monitoring en la Google Cloud consola. Permite escribir datos de supervisión en un alcance de métricas.

Roles de la política de alertas

Las siguientes funciones otorgan permisos para las políticas de alertas:

Título del nombre	Descripción
`roles/monitoring.alertPolicyViewer` Visualizador de políticas de alertas de Monitoring	Otorga acceso de solo lectura a las políticas de alertas.
`roles/monitoring.alertPolicyEditor` Editor de políticas de alertas de Monitoring	Otorga acceso de lectura y escritura a las políticas de alertas.

Roles del panel

Las siguientes funciones otorgan permisos solo para los paneles:

Título del nombre	Descripción
`roles/monitoring.dashboardViewer` Visualizador de configuración del panel de Monitoring	Otorga acceso de solo lectura a las configuraciones del panel.
`roles/monitoring.dashboardEditor` Editor de configuración del panel de Monitoring	Otorga acceso de lectura y escritura a la configuración del panel.

Roles de incidentes

Las siguientes funciones otorgan permisos solo para los incidentes:

Título del nombre	Descripción
`roles/monitoring.cloudConsoleIncidentViewer` Visualizador de incidentes de la consola de Cloud de Monitoring	Otorga acceso para ver incidentes con la consola de Google Cloud .
`roles/monitoring.cloudConsoleIncidentEditor` Editor de incidentes de la consola de Cloud de Monitoring	Otorga acceso para ver, confirmar y cerrar incidentes con la consola de Google Cloud .

Para obtener información sobre cómo resolver errores de permisos de IAM cuando ves incidentes, consulta No se pueden ver los detalles del incidente debido a un error de permiso.

Roles de los canales de notificación

Las siguientes funciones otorgan permisos solo para los canales de notificaciones:

Título del nombre	Descripción
`roles/monitoring.notificationChannelViewer` Visualizador de canales de notificaciones de Monitoring	Otorga acceso de solo lectura a los canales de notificación.
`roles/monitoring.notificationChannelEditor` Editor de canales de notificaciones de Monitoring	Otorga acceso de lectura y escritura a los canales de notificaciones.

Roles de notificaciones pospuestas

Las siguientes funciones otorgan permisos para posponer notificaciones:

Título del nombre	Descripción
`roles/monitoring.snoozeViewer` Visualizador de alertas pospuestas	Otorga acceso de solo lectura a las repeticiones.
`roles/monitoring.snoozeEditor` Editor de alertas pospuestas	Otorga acceso de lectura y escritura a las repeticiones.

Roles de supervisión de servicios

Las siguientes funciones otorgan permisos para administrar servicios:

Título del nombre	Descripción
`roles/monitoring.servicesViewer` Visualizador de servicios de Monitoring	Otorga acceso de solo lectura a los servicios.
`roles/monitoring.servicesEditor` Editor de servicios de Monitoring	Otorga acceso de lectura y escritura a los servicios.

Para obtener más información sobre la supervisión de servicios, consulta Supervisión de SLO.

Roles de configuración de verificaciones de tiempo de actividad

Las siguientes funciones otorgan permisos solo para la configuración de verificaciones de tiempo de actividad:

Título del nombre	Descripción
`roles/monitoring.uptimeCheckConfigViewer` Visualizador de configuración de verificaciones de tiempo de actividad de Monitoring	Otorga acceso de solo lectura a la configuración de verificaciones de tiempo de actividad.
`roles/monitoring.uptimeCheckConfigEditor` Editor de configuración de verificaciones de tiempo de actividad de Monitoring	Otorga acceso de lectura y escritura a la configuración de verificaciones del tiempo de actividad.

Roles de configuración del alcance de las métricas

Las siguientes funciones otorgan permisos generales para los permisos de métricas:

Título del nombre	Descripción
`roles/monitoring.metricsScopesViewer` Visualizador de permisos de métricas de supervisión	Otorga acceso de solo lectura a los permisos de las métricas.
`roles/monitoring.metricsScopesAdmin` Administrador de permisos de métricas de supervisión	Otorga acceso de lectura y escritura a los permisos de las métricas.

Permisos para roles predefinidos

En esta sección, se enumeran los permisos asignados a los roles predefinidos asociados con Monitoring.

Para obtener más información sobre los roles predefinidos, consulta IAM: Roles y permisos. Si deseas obtener ayuda para elegir los roles predefinidos más adecuados, consulta Elige roles predefinidos.

Permisos para los roles de Monitoring

Role Permissions

Role	Permissions
Monitoring Admin (`roles/monitoring.admin`) Provides full access to Cloud Monitoring. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.createTagBinding` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.deleteTagBinding` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alertPolicies.update` `monitoring.dashboards.create` `monitoring.dashboards.createTagBinding` `monitoring.dashboards.delete` `monitoring.dashboards.deleteTagBinding` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.dashboards.update` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.metricsScopes.link` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.getVerificationCode` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.*` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring AlertPolicy Editor (`roles/monitoring.alertPolicyEditor`) Read/write access to alerting policies.	`monitoring.alertPolicies.*` `monitoring.alertPolicies.create` `monitoring.alertPolicies.createTagBinding` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.deleteTagBinding` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alertPolicies.update`
Monitoring AlertPolicy Viewer (`roles/monitoring.alertPolicyViewer`) Read-only access to alerting policies.	`monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings`
Monitoring Cloud Console Incident Editor ^Beta (`roles/monitoring.cloudConsoleIncidentEditor`) Read/write access to incidents from Cloud Console.
Monitoring Cloud Console Incident Viewer ^Beta (`roles/monitoring.cloudConsoleIncidentViewer`) Read access to incidents from Cloud Console.
Monitoring Dashboard Configuration Editor (`roles/monitoring.dashboardEditor`) Read/write access to dashboard configurations.	`monitoring.dashboards.*` `monitoring.dashboards.create` `monitoring.dashboards.createTagBinding` `monitoring.dashboards.delete` `monitoring.dashboards.deleteTagBinding` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.dashboards.update`
Monitoring Dashboard Configuration Viewer (`roles/monitoring.dashboardViewer`) Read-only access to dashboard configurations.	`monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings`
Monitoring Editor (`roles/monitoring.editor`) Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.createTagBinding` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.deleteTagBinding` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alertPolicies.update` `monitoring.dashboards.` `monitoring.dashboards.create` `monitoring.dashboards.createTagBinding` `monitoring.dashboards.delete` `monitoring.dashboards.deleteTagBinding` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.dashboards.update` `monitoring.groups.` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.*` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring Metric Writer (`roles/monitoring.metricWriter`) Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role: Project	`monitoring.metricDescriptors.create` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.*` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.timeSeries.create`
Monitoring Metrics Scopes Admin ^Beta (`roles/monitoring.metricsScopesAdmin`) Access to add and remove monitored projects from metrics scopes.	`monitoring.metricsScopes.link` `resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring Metrics Scopes Viewer ^Beta (`roles/monitoring.metricsScopesViewer`) Read-only access to metrics scopes and their monitored projects.	`resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring NotificationChannel Editor ^Beta (`roles/monitoring.notificationChannelEditor`) Read/write access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify`
Monitoring NotificationChannel Viewer ^Beta (`roles/monitoring.notificationChannelViewer`) Read-only access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list`
Monitoring Service Agent (`roles/monitoring.notificationServiceAgent`) Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project. Warning: Do not grant service agent roles to any principals except service agents.	`bigquery.jobs.create` `cloudfunctions.functions.get` `cloudtrace.traces.patch` `logging.links.list` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.*` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.timeSeries.list` `run.routes.invoke` `servicedirectory.networks.access` `servicedirectory.services.resolve` `serviceusage.services.use`
Monitoring Services Editor (`roles/monitoring.servicesEditor`) Read/write access to services.	`monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update`
Monitoring Services Viewer (`roles/monitoring.servicesViewer`) Read-only access to services.	`monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list`
Monitoring Snooze Editor (`roles/monitoring.snoozeEditor`)	`monitoring.snoozes.*` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update`
Monitoring Snooze Viewer (`roles/monitoring.snoozeViewer`)	`monitoring.snoozes.get` `monitoring.snoozes.list`
Monitoring Uptime Check Configuration Editor ^Beta (`roles/monitoring.uptimeCheckConfigEditor`) Read/write access to uptime check configurations.	`monitoring.uptimeCheckConfigs.*` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update`
Monitoring Uptime Check Configuration Viewer ^Beta (`roles/monitoring.uptimeCheckConfigViewer`) Read-only access to uptime check configurations.	`monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list`
Monitoring Viewer (`roles/monitoring.viewer`) Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.groups.get` `monitoring.groups.list` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `opsconfigmonitoring.resourceMetadata.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get` `stackdriver.resourceMetadata.list`
Ops Config Monitoring Resource Metadata Viewer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.viewer`) Read-only access to resource metadata.	`opsconfigmonitoring.resourceMetadata.list`
Ops Config Monitoring Resource Metadata Writer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.	`opsconfigmonitoring.resourceMetadata.write`
Stackdriver Accounts Editor (`roles/stackdriver.accounts.editor`) Read/write access to manage Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.services.enable` `serviceusage.services.get` `stackdriver.projects.*` `stackdriver.projects.edit` `stackdriver.projects.get`
Stackdriver Accounts Viewer (`roles/stackdriver.accounts.viewer`) Read-only access to get and list information about Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get`
Stackdriver Resource Metadata Writer ^Beta (`roles/stackdriver.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.	`stackdriver.resourceMetadata.write`

Monitoring Admin

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.*

monitoring.alertPolicies.create
monitoring.alertPolicies.createTagBinding
monitoring.alertPolicies.delete
monitoring.alertPolicies.deleteTagBinding
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alertPolicies.update
monitoring.dashboards.create
monitoring.dashboards.createTagBinding
monitoring.dashboards.delete
monitoring.dashboards.deleteTagBinding
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.dashboards.update
monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update
monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.metricsScopes.link
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.getVerificationCode
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update
monitoring.timeSeries.create
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring AlertPolicy Editor

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.createTagBinding
monitoring.alertPolicies.delete
monitoring.alertPolicies.deleteTagBinding
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alertPolicies.update

Monitoring AlertPolicy Viewer

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

Monitoring Cloud Console Incident Editor ^Beta

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

Monitoring Cloud Console Incident Viewer ^Beta

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

Monitoring Dashboard Configuration Editor

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.createTagBinding
monitoring.dashboards.delete
monitoring.dashboards.deleteTagBinding
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.dashboards.update

Monitoring Dashboard Configuration Viewer

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

Monitoring Editor

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.createTagBinding
monitoring.alertPolicies.delete
monitoring.alertPolicies.deleteTagBinding
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alertPolicies.update

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.createTagBinding
monitoring.dashboards.delete
monitoring.dashboards.deleteTagBinding
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.dashboards.update

monitoring.groups.*

monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update

monitoring.metricDescriptors.*

monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

monitoring.timeSeries.*

monitoring.timeSeries.create
monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring Metric Writer

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

Monitoring Metrics Scopes Admin ^Beta

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring Metrics Scopes Viewer ^Beta

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring NotificationChannel Editor ^Beta

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

Monitoring NotificationChannel Viewer ^Beta

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

Monitoring Service Agent

(roles/monitoring.notificationServiceAgent)

Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project.

bigquery.jobs.create

cloudfunctions.functions.get

cloudtrace.traces.patch

logging.links.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.list

run.routes.invoke

servicedirectory.networks.access

servicedirectory.services.resolve

serviceusage.services.use

Monitoring Services Editor

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

Monitoring Services Viewer

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

Monitoring Snooze Editor

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

Monitoring Snooze Viewer

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

Monitoring Uptime Check Configuration Editor ^Beta

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

Monitoring Uptime Check Configuration Viewer ^Beta

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

Monitoring Viewer

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Ops Config Monitoring Resource Metadata Viewer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

Ops Config Monitoring Resource Metadata Writer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Stackdriver Accounts Editor

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

stackdriver.projects.edit
stackdriver.projects.get

Stackdriver Accounts Viewer

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

Stackdriver Resource Metadata Writer ^Beta

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Permisos de Monitoring incluidos en los roles Google Cloud básicos

Los Google Cloud roles básicos incluyen los siguientes permisos:

Título del
nombre Permisos incluidos

roles/viewer
Visualizador Los permisos de Monitoring son los mismos que los de roles/monitoring.viewer.

Título del nombre	Permisos incluidos
`roles/viewer` Visualizador	Los permisos de Monitoring son los mismos que los de `roles/monitoring.viewer`.
`roles/editor` Editor	Los permisos de Monitoring son los mismos que los de `roles/monitoring.editor`, excepto el permiso `stackdriver.projects.edit`. El rol `roles/editor` no incluye el permiso `stackdriver.projects.edit`. Este rol no otorga permiso para modificar un alcance de métricas. Para modificar un alcance de métricas cuando usas la API, tu rol debe incluir el permiso `monitoring.metricsScopes.link`. Para modificar un alcance de métricas cuando usas la consola de Google Cloud , tu rol debe incluir el permiso`monitoring.metricsScopes.link` o debes tener el rol`roles/monitoring.editor`.
`roles/owner` Propietario	Los permisos de Monitoring son los mismos que los de `roles/monitoring.admin`.

roles/editor
Editor

Los permisos de Monitoring son los mismos que los de roles/monitoring.editor, excepto el permiso stackdriver.projects.edit. El rol roles/editor no incluye el permiso stackdriver.projects.edit.

Este rol no otorga permiso para modificar un alcance de métricas. Para modificar un alcance de métricas cuando usas la API, tu rol debe incluir el permiso monitoring.metricsScopes.link. Para modificar un alcance de métricas cuando usas la consola de Google Cloud , tu rol debe incluir el permisomonitoring.metricsScopes.link o debes tener el rolroles/monitoring.editor.

roles/owner
Propietario Los permisos de Monitoring son los mismos que los de roles/monitoring.admin.

Funciones personalizadas

Es posible que desees crear un rol personalizado cuando quieras otorgar a un principal un conjunto de permisos más limitado que los que se otorgan con los roles predefinidos. Por ejemplo, si configuras Assured Workloads porque tienes requisitos de residencia de datos o de nivel de impacto 4 (IL4), no debes usar verificaciones de tiempo de actividad, ya que no hay garantía de que los datos de las verificaciones de tiempo de actividad se conserven en una ubicación geográfica específica. Para evitar el uso de verificaciones de tiempo de actividad, crea un rol que no incluya permisos con el prefijo monitoring.uptimeCheckConfigs.

Para crear una función personalizada con permisos de Monitoring, realiza las siguientes acciones:

Para una función que otorgue permisos solo a la API de Monitoring, elige los permisos en la sección Permisos y roles predefinidos.
Para una función que otorgue permisos para Monitoring en la consola deGoogle Cloud , elige entre los grupos de permisos en la sección Roles de Monitoring.
Para otorgar la capacidad de escribir datos de supervisión, incluye los permisos de la función roles/monitoring.metricWriter en la sección Permisos y roles predefinidos.

Para obtener más información sobre las funciones personalizadas, consulta Comprende las funciones personalizadas de IAM.

Permisos de acceso de Compute Engine

Los niveles de acceso son el método heredado de especificar permisos para tus instancias de VM de Compute Engine. Los siguientes niveles de acceso se aplican a Monitoring:

Nivel de acceso	Permisos otorgados
https://www.googleapis.com/auth/monitoring.read	Los mismos permisos que en `roles/monitoring.viewer`
https://www.googleapis.com/auth/monitoring.write	Los mismos permisos que en `roles/monitoring.metricWriter`
https://www.googleapis.com/auth/monitoring	Acceso completo a Monitoring
https://www.googleapis.com/auth/cloud-platform	Acceso completo a todas las API de Cloud habilitadas

Para obtener más información, consulta Permisos de acceso.

Prácticas recomendadas: Una buena práctica es otorgar a tus instancias de VM el permiso de acceso más eficaz (cloud-platform) y, luego, usar las funciones de IAM para restringir el acceso a operaciones y APIs específicas. Para obtener más información, consulta Permisos de la cuenta de servicio.

Controla el acceso con IAM Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Práctica recomendada

Controles del servicio de VPC

Otorga acceso a Cloud Monitoring

Console

gcloud

Funciones predefinidas

Funciones de Monitoring

Roles de la política de alertas

Roles del panel

Roles de incidentes

Roles de los canales de notificación

Roles de notificaciones pospuestas

Roles de supervisión de servicios

Roles de configuración de verificaciones de tiempo de actividad

Roles de configuración del alcance de las métricas

Permisos para roles predefinidos

Permisos para los roles de Monitoring

Monitoring Admin

Monitoring AlertPolicy Editor

Monitoring AlertPolicy Viewer

Monitoring Cloud Console Incident Editor Beta

Monitoring Cloud Console Incident Viewer Beta

Monitoring Dashboard Configuration Editor

Monitoring Dashboard Configuration Viewer

Monitoring Editor

Monitoring Metric Writer

Monitoring Metrics Scopes Admin Beta

Monitoring Metrics Scopes Viewer Beta

Monitoring NotificationChannel Editor Beta

Monitoring NotificationChannel Viewer Beta

Monitoring Service Agent

Monitoring Services Editor

Monitoring Services Viewer

Monitoring Snooze Editor

Monitoring Snooze Viewer

Monitoring Uptime Check Configuration Editor Beta

Monitoring Uptime Check Configuration Viewer Beta

Monitoring Viewer

Ops Config Monitoring Resource Metadata Viewer Beta

Ops Config Monitoring Resource Metadata Writer Beta

Stackdriver Accounts Editor

Stackdriver Accounts Viewer

Stackdriver Resource Metadata Writer Beta

Permisos de Monitoring incluidos en los roles Google Cloud básicos

Funciones personalizadas

Permisos de acceso de Compute Engine

Controla el acceso con IAM

Monitoring Cloud Console Incident Editor ^Beta

Monitoring Cloud Console Incident Viewer ^Beta

Monitoring Metrics Scopes Admin ^Beta

Monitoring Metrics Scopes Viewer ^Beta

Monitoring NotificationChannel Editor ^Beta

Monitoring NotificationChannel Viewer ^Beta

Monitoring Uptime Check Configuration Editor ^Beta

Monitoring Uptime Check Configuration Viewer ^Beta

Ops Config Monitoring Resource Metadata Viewer ^Beta

Ops Config Monitoring Resource Metadata Writer ^Beta

Stackdriver Resource Metadata Writer ^Beta