Mengontrol akses dengan IAM

Untuk menggunakan Monitoring, Anda harus memiliki izin Identity and Access Management (IAM) yang sesuai. Secara umum, setiap metode REST dalam API memiliki izin terkait. Untuk menggunakan metode, atau menggunakan fitur konsol yang mengandalkan metode tersebut, Anda harus memiliki izin untuk menggunakan metode yang sesuai. Izin tidak diberikan langsung kepada pengguna; izin diberikan secara tidak langsung melalui peran, yang mengelompokkan beberapa izin untuk mempermudah pengelolaannya:

Peran untuk kombinasi izin umum telah ditentukan sebelumnya untuk Anda. Namun, Anda juga dapat membuat kombinasi izin Anda sendiri dengan membuat peran khusus IAM.

Praktik terbaik

Sebaiknya Anda membuat grup Google untuk mengelola akses ke projectGoogle Cloud :

Kontrol Layanan VPC

Untuk mengontrol akses lebih lanjut ke data pemantauan, gunakan Kontrol Layanan VPC selain IAM.

Kontrol Layanan VPC memberikan keamanan tambahan untuk Cloud Monitoring guna membantu mengurangi risiko pemindahan data yang tidak sah. Dengan menggunakan Kontrol Layanan VPC, Anda dapat menambahkan cakupan metrik ke Perimeter Layanan yang melindungi resource dan layanan Cloud Monitoring dari permintaan yang berasal dari luar perimeter.

Untuk mempelajari Perimeter Layanan lebih lanjut, lihat dokumentasi konfigurasi Perimeter Layanan Kontrol Layanan VPC.

Untuk mengetahui informasi tentang dukungan Monitoring untuk Kontrol Layanan VPC, termasuk batasan yang diketahui, lihat dokumentasi Kontrol Layanan VPC Monitoring.

Memberikan akses ke Cloud Monitoring

Untuk mengelola peran IAM bagi prinsipal, Anda dapat menggunakan halaman Identity and Access Management di konsol Google Cloud atau Google Cloud CLI. Namun, Cloud Monitoring menyediakan antarmuka yang disederhanakan yang memungkinkan Anda mengelola peran khusus Monitoring, peran tingkat project, dan peran umum untuk Cloud Logging dan Cloud Trace.

Untuk memberikan akses akun utama ke Monitoring, Cloud Logging, atau Cloud Trace, atau untuk memberikan peran tingkat project, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman  Izin:

    Buka Izin

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

    Halaman Permissions tidak menampilkan semua prinsipal. Hanya mencantumkan akun utama yang memiliki peran tingkat project, atau peran yang khusus untuk Monitoring, Logging, atau Trace.

    Opsi di halaman ini memungkinkan Anda melihat semua akun utama yang perannya mencakup izin Pemantauan.

  2. Klik Berikan akses.

  3. Klik New principals, lalu masukkan nama pengguna untuk akun utama. Anda dapat menambahkan beberapa prinsipal.

  4. Luaskan Pilih peran, pilih nilai dari menu Menurut produk atau layanan, lalu pilih peran dari menu Peran:

    Pemilihan berdasarkan produk atau layanan Pilihan Peran Deskripsi
    Pemantauan Monitoring Viewer Melihat data Pemantauan dan informasi konfigurasi. Misalnya, akun utama dengan peran ini dapat melihat dasbor kustom dan kebijakan pemberitahuan.
    Pemantauan Editor Pemantauan Melihat data Monitoring, serta membuat dan mengedit konfigurasi. Misalnya, principal dengan peran ini dapat membuat dasbor kustom dan kebijakan pemberitahuan.
    Pemantauan Monitoring Admin Akses penuh ke Monitoring di konsol Google Cloud dan Cloud Monitoring API. Anda dapat melihat data Monitoring, membuat dan mengedit konfigurasi, serta mengubah cakupan metrik.
    Cloud Trace Cloud Trace User Akses penuh ke konsol Trace, akses baca ke rekaman aktivitas, dan akses baca-tulis ke sink. Untuk mengetahui informasi selengkapnya, lihat Peran pelacakan.
    Cloud Trace Cloud Trace Admin Akses penuh ke konsol Trace, akses baca-tulis ke rekaman aktivitas, dan akses baca-tulis ke sink. Untuk mengetahui informasi selengkapnya, lihat Peran pelacakan.
    Logging Logs Viewer Akses lihat ke log. Untuk mengetahui informasi selengkapnya, lihat Peran logging.
    Logging Admin Logging Akses penuh ke semua fitur Cloud Logging. Untuk informasi selengkapnya, lihat Peran logging.
    Project Pengakses Lihat-saja Memiliki akses lihat ke sebagian besar Google Cloud resource.
    Project Editor Melihat, membuat, memperbarui, dan menghapus sebagian besar Google Cloud resource.
    Project Pemilik Akses penuh ke sebagian besar Google Cloud resource.

  5. Opsional: Untuk memberikan peran lain kepada akun utama yang sama, klik Tambahkan peran lain dan ulangi langkah sebelumnya.

  6. Klik Simpan.

Langkah-langkah sebelumnya menjelaskan cara memberikan peran tertentu kepada pokok dengan menggunakan halaman Monitoring di konsol Google Cloud . Untuk peran ini, halaman ini juga mendukung opsi edit dan hapus:

  • Untuk menghapus peran bagi akun utama, centang kotak di samping akun utama, lalu klik Hapus akses.

  • Untuk mengedit peran akun utama, klik Edit. Setelah Anda memperbarui setelan, klik Simpan.

gcloud

Gunakan perintah gcloud projects add-iam-policy-binding untuk memberikan peran monitoring.viewer atau monitoring.editor.

Contoh:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Anda dapat mengonfirmasi peran yang diberikan menggunakan perintah gcloud projects get-iam-policy:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Peran yang telah ditetapkan

Bagian ini mencantumkan subset peran IAM yang telah ditetapkan oleh Cloud Monitoring.

Peran pemantauan

Peran berikut memberikan izin umum untuk Monitoring:

Nama
Jabatan		 Menyertakan izin
roles/monitoring.viewer
Monitoring Viewer 		Memberikan akses hanya baca ke Monitoring di konsol Google Cloud dan Cloud Monitoring API.
roles/monitoring.editor
Monitoring Editor 		Memberikan akses baca-tulis ke Monitoring di konsol Google Cloud dan Cloud Monitoring API.
roles/monitoring.admin
Admin Pemantauan 		Memberikan akses penuh ke Monitoring di konsol Google Cloud dan Cloud Monitoring API.

Peran berikut digunakan oleh akun layanan untuk akses hanya tulis:

Nama
Jabatan		 Deskripsi
roles/monitoring.metricWriter
Monitoring Metric Writer

Peran ini ditujukan untuk akun layanan dan agen.
Tidak mengizinkan akses ke Pemantauan di konsol Google Cloud .
Mengizinkan penulisan data pemantauan ke cakupan metrik.

Peran kebijakan pemberitahuan

Peran berikut memberikan izin untuk kebijakan pemberitahuan:

Nama
Jabatan		 Deskripsi
roles/monitoring.alertPolicyViewer
Monitoring AlertPolicy Viewer		 Memberikan akses hanya baca ke kebijakan pemberitahuan.
roles/monitoring.alertPolicyEditor
Monitoring AlertPolicy Editor		 Memberikan akses baca-tulis ke kebijakan pemberitahuan.

Peran dasbor

Peran berikut hanya memberikan izin untuk dasbor:

Nama
Jabatan		 Deskripsi
roles/monitoring.dashboardViewer
Monitoring Dashboard Configuration Viewer		 Memberikan akses hanya baca ke konfigurasi dasbor.
roles/monitoring.dashboardEditor
Monitoring Dashboard Configuration Editor		 Memberikan akses baca-tulis ke konfigurasi dasbor.

Peran insiden

Peran berikut hanya memberikan izin untuk insiden:

Nama
Jabatan		 Deskripsi
roles/monitoring.cloudConsoleIncidentViewer
Monitoring Cloud Console Incident Viewer		 Memberikan akses untuk melihat insiden menggunakan konsol Google Cloud .
roles/monitoring.cloudConsoleIncidentEditor
Monitoring Cloud Console Incident Editor		 Memberikan akses untuk melihat, mengonfirmasi, dan menutup insiden menggunakan konsol Google Cloud .

Untuk mengetahui informasi tentang cara mengatasi error izin IAM saat melihat insiden, lihat Tidak dapat melihat detail insiden karena error izin.

Peran saluran notifikasi

Peran berikut hanya memberikan izin untuk saluran notifikasi:

Nama
Jabatan		 Deskripsi
roles/monitoring.notificationChannelViewer
Monitoring NotificationChannel Viewer		 Memberikan akses hanya baca ke saluran notifikasi.
roles/monitoring.notificationChannelEditor
Monitoring NotificationChannel Editor		 Memberikan akses baca-tulis ke saluran notifikasi.

Menunda peran notifikasi

Peran berikut memberikan izin untuk menunda notifikasi:

Nama
Jabatan		 Deskripsi
roles/monitoring.snoozeViewer
Monitoring Snooze Viewer		 Memberikan akses hanya baca ke tunda.
roles/monitoring.snoozeEditor
Monitoring Snooze Editor		 Memberikan akses baca-tulis ke tunda.

Peran pemantauan layanan

Peran berikut memberikan izin untuk mengelola layanan:

Nama
Jabatan		 Deskripsi
roles/monitoring.servicesViewer
Monitoring Services Viewer		 Memberikan akses hanya baca ke layanan.
roles/monitoring.servicesEditor
Monitoring Services Editor		 Memberikan akses baca-tulis ke layanan.

Untuk mengetahui informasi selengkapnya tentang pemantauan layanan, lihat Pemantauan SLO.

Peran konfigurasi cek uptime

Peran berikut hanya memberikan izin untuk konfigurasi cek uptime:

Nama
Jabatan		 Deskripsi
roles/monitoring.uptimeCheckConfigViewer
Monitoring Uptime Check Configurations Viewer		 Memberikan akses hanya baca ke konfigurasi cek uptime.
roles/monitoring.uptimeCheckConfigEditor
Monitoring Uptime Check Configurations Editor		 Memberikan akses baca-tulis ke konfigurasi cek uptime.

Peran konfigurasi cakupan metrik

Peran berikut memberikan izin umum untuk cakupan metrik:

Nama
Jabatan		 Deskripsi
roles/monitoring.metricsScopesViewer
Pelihat cakupan metrik Monitoring		 Memberikan akses hanya baca ke cakupan metrik.
roles/monitoring.metricsScopesAdmin
Admin cakupan metrik Monitoring		 Memberikan akses baca-tulis ke cakupan metrik.

Izin untuk peran bawaan

Bagian ini mencantumkan izin yang ditetapkan ke peran bawaan yang terkait dengan Monitoring.

Untuk mengetahui informasi selengkapnya tentang peran bawaan, lihat IAM: Peran dan izin. Untuk mendapatkan bantuan dalam memilih peran bawaan yang paling sesuai, lihat Memilih peran bawaan.

Izin untuk peran Pemantauan

Role Permissions

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.notificationServiceAgent)

Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project.

bigquery.jobs.create

cloudfunctions.functions.get

cloudtrace.traces.patch

logging.links.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.list

run.routes.invoke

servicedirectory.networks.access

servicedirectory.services.resolve

serviceusage.services.use

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Izin pemantauan yang disertakan dalam peran dasar Google Cloud

Google Cloud Peran dasar mencakup izin berikut:

Nama
Jabatan		 Menyertakan izin
roles/viewer
Penonton 		Izin Pemantauan sama dengan izin di roles/monitoring.viewer.
roles/editor
Editor

Izin Pemantauan sama dengan izin di roles/monitoring.editor, kecuali izin stackdriver.projects.edit. Peran roles/editor tidak mencakup izin stackdriver.projects.edit.

Peran ini tidak memberikan izin untuk mengubah cakupan metrik. Untuk mengubah cakupan metrik saat menggunakan API, peran Anda harus menyertakan izin monitoring.metricsScopes.link. Untuk mengubah cakupan metrik saat menggunakan konsol Google Cloud , peran Anda harus menyertakan izin monitoring.metricsScopes.link atau Anda harus memiliki peran roles/monitoring.editor.
roles/owner
Pemilik 		Izin Pemantauan sama dengan izin di roles/monitoring.admin.

Peran khusus

Anda mungkin ingin membuat peran khusus jika ingin memberikan serangkaian izin yang lebih terbatas kepada akun utama daripada yang diberikan dengan peran bawaan. Misalnya, jika Anda menyiapkan Assured Workloads karena Anda memiliki persyaratan residensi data atau Tingkat Dampak 4 (IL4), maka Anda tidak boleh menggunakan pemeriksaan waktu aktif karena tidak ada jaminan bahwa data pemeriksaan waktu aktif disimpan di lokasi geografis tertentu. Untuk mencegah penggunaan pemeriksaan waktu aktif, buat peran yang tidak menyertakan izin apa pun dengan awalan monitoring.uptimeCheckConfigs.

Untuk membuat peran kustom dengan izin Monitoring, lakukan hal berikut:

  • Untuk peran yang memberikan izin hanya untuk Monitoring API, pilih dari izin di bagian Izin dan peran bawaan.

  • Untuk peran yang memberikan izin untuk Monitoring di konsolGoogle Cloud , pilih dari grup izin di bagian Peran Monitoring.

  • Untuk memberikan kemampuan menulis data pemantauan, sertakan izin dari peran roles/monitoring.metricWriter di bagian Izin dan peran yang telah ditetapkan.

Untuk mengetahui informasi selengkapnya tentang peran khusus, buka Memahami peran khusus IAM.

Cakupan akses Compute Engine

Cakupan akses adalah metode lama untuk menentukan izin bagi instance VM Compute Engine Anda. Cakupan akses berikut berlaku untuk Monitoring:

Cakupan akses Izin yang diberikan
https://www.googleapis.com/auth/monitoring.read Izin yang sama seperti di roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write Izin yang sama seperti di roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Akses penuh ke Monitoring.
https://www.googleapis.com/auth/cloud-platform Akses penuh ke semua Cloud API yang diaktifkan.

Untuk mengetahui detail selengkapnya, buka Cakupan akses.

Praktik terbaik. Sebaiknya berikan cakupan akses yang paling kuat (cloud-platform) ke instance VM Anda, lalu gunakan peran IAM untuk membatasi akses ke API dan operasi tertentu. Untuk mengetahui detailnya, buka Izin akun layanan.