Controlla l'accesso con IAM

Per utilizzare Monitoring, devi disporre delle autorizzazioni Identity and Access Management (IAM) appropriate. In generale, ogni metodo REST in un'API ha un'autorizzazione associata. Per utilizzare il metodo o una funzionalità della console che si basa su di esso, devi disporre dell'autorizzazione per utilizzare il metodo corrispondente. Le autorizzazioni non vengono concesse direttamente agli utenti, ma indirettamente tramite i ruoli, che raggruppano più autorizzazioni per semplificarne la gestione:

I ruoli per le combinazioni comuni di autorizzazioni sono predefiniti. Tuttavia, puoi anche creare le tue combinazioni di autorizzazioni creando ruoli personalizzati IAM.

Best practice

Ti consigliamo di creare gruppi Google per gestire l'accesso ai progetti Google Cloud :

Controlli di servizio VPC

Per controllare ulteriormente l'accesso ai dati di monitoraggio, utilizza Controlli di servizio VPC oltre a IAM.

I Controlli di servizio VPC forniscono ulteriore sicurezza per Cloud Monitoring per contribuire a ridurre il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi aggiungere un ambito delle metriche a un perimetro di servizio che protegge risorse e servizi Cloud Monitoring da richieste provenienti dall'esterno del perimetro.

Per scoprire di più sui perimetri di servizio, consulta la documentazione sulla configurazione dei perimetri di servizio dei Controlli di servizio VPC.

Per informazioni sul supporto di Monitoring per i Controlli di servizio VPC, incluse le limitazioni note, consulta la documentazione sui Controlli di servizio VPC di Monitoring.

Concedere l'accesso a Cloud Monitoring

Per gestire i ruoli IAM per le entità, puoi utilizzare la pagina Identity and Access Management nella console Google Cloud o Google Cloud CLI. Tuttavia, Cloud Monitoring fornisce un'interfaccia semplificata che ti consente di gestire i ruoli specifici di Monitoring, i ruoli a livello di progetto e i ruoli comuni per Cloud Logging e Cloud Trace.

Per concedere alle entità l'accesso a Monitoring, Cloud Logging o Cloud Trace oppure per concedere un ruolo a livello di progetto:

Console

  1. Nella console Google Cloud , vai alla pagina  Autorizzazioni:

    Vai ad Autorizzazioni

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Monitoring.

    La pagina Autorizzazioni non mostra tutte le entità. Elenca solo le entità che hanno un ruolo a livello di progetto o un ruolo specifico per Monitoring, Logging o Trace.

    Le opzioni di questa pagina ti consentono di visualizzare tutte le entità i cui ruoli includono qualsiasi autorizzazione Monitoring.

  2. Fai clic su Concedi l'accesso.

  3. Fai clic su Nuove entità e inserisci il nome utente dell'entità. Puoi aggiungere più entità.

  4. Espandi Seleziona un ruolo, seleziona un valore dal menu Per prodotto o servizio, quindi seleziona un ruolo dal menu Ruoli:

    Selezione Per prodotto o servizio Selezione dei ruoli Descrizione
    Monitoraggio Monitoring Viewer Visualizzare i dati e le informazioni di configurazione di Monitoring. Ad esempio, le entità con questo ruolo possono visualizzare dashboard personalizzate e criteri di avviso.
    Monitoraggio Editor di Monitoring Visualizza i dati di Monitoring e crea e modifica le configurazioni. Ad esempio, i principal con questo ruolo possono creare dashboard personalizzate e criteri di avviso.
    Monitoraggio Amministratore Monitoring Accesso completo a Monitoring nella console Google Cloud e nell'API Cloud Monitoring. Puoi visualizzare i dati di monitoraggio, creare e modificare le configurazioni e modificare l'ambito delle metriche.
    Cloud Trace Cloud Trace User Accesso completo alla console Trace, accesso in lettura alle tracce e accesso in lettura/scrittura ai sink. Per maggiori informazioni, consulta Tracciare i ruoli.
    Cloud Trace Amministratore Cloud Trace Accesso completo alla console Trace, accesso in lettura/scrittura alle tracce e accesso in lettura/scrittura ai sink. Per maggiori informazioni, consulta Tracciare i ruoli.
    Logging Visualizzatore log Accesso in visualizzazione ai log. Per ulteriori informazioni, consulta la sezione Ruoli di Logging.
    Logging Amministratore Logging Accesso completo a tutte le funzionalità di Cloud Logging. Per ulteriori informazioni, consulta Ruoli di Logging.
    Progetto Visualizzatore Accesso in visualizzazione alla maggior parte delle risorse Google Cloud .
    Progetto Editor Visualizza, crea, aggiorna ed elimina la maggior parte delle risorse Google Cloud .
    Progetto Proprietario Accesso completo alla maggior parte delle risorse. Google Cloud

  5. (Facoltativo) Per concedere un altro ruolo alle stesse entità, fai clic su Aggiungi un altro ruolo e ripeti il passaggio precedente.

  6. Fai clic su Salva.

I passaggi precedenti descrivono come concedere a un principal determinati ruoli utilizzando le pagine di monitoraggio nella console Google Cloud . Per questi ruoli, questa pagina supporta anche le opzioni di modifica ed eliminazione:

  • Per rimuovere i ruoli per un'entità, seleziona la casella accanto all'entità e poi fai clic su Rimuovi accesso.

  • Per modificare i ruoli di un'entità, fai clic su Modifica. Dopo aver aggiornato le impostazioni, fai clic su Salva.

gcloud

Utilizza il comando gcloud projects add-iam-policy-binding per concedere il ruolo monitoring.viewer o monitoring.editor.

Ad esempio:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

Puoi confermare i ruoli concessi utilizzando il comando gcloud projects get-iam-policy:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

Ruoli predefiniti

Questa sezione elenca un sottoinsieme di ruoli IAM predefiniti da Cloud Monitoring.

Ruoli di monitoraggio

I seguenti ruoli concedono autorizzazioni generali per Monitoring:

Nome
Titolo		 Include autorizzazioni
roles/monitoring.viewer
Visualizzatore Monitoring 		Concede l'accesso in sola lettura a Monitoring nella console Google Cloud e all'API Cloud Monitoring.
roles/monitoring.editor
Editor Monitoring 		Concede l'accesso in lettura/scrittura a Monitoring nella console Google Cloud e all'API Cloud Monitoring.
roles/monitoring.admin
Amministratore Monitoring 		Concede l'accesso completo a Monitoring nella console Google Cloud e all'API Cloud Monitoring.

Il seguente ruolo viene utilizzato dai service account per l'accesso in sola scrittura:

Nome
Titolo		 Descrizione
roles/monitoring.metricWriter
Monitoring Metric Writer

Questo ruolo è destinato agli agenti e ai service account.
Non consente l'accesso a Monitoring nella console Google Cloud .
Consente di scrivere i dati di monitoraggio in un ambito delle metriche.

Ruoli dei criteri di avviso

I seguenti ruoli concedono le autorizzazioni per i criteri di avviso:

Nome
Titolo		 Descrizione
roles/monitoring.alertPolicyViewer
Monitoring AlertPolicy Viewer		 Concede l'accesso di sola lettura ai criteri di avviso.
roles/monitoring.alertPolicyEditor
Editor AlertPolicy Monitoring		 Concede l'accesso in lettura e scrittura ai criteri di avviso.

Ruoli dashboard

I seguenti ruoli concedono autorizzazioni solo per i dashboard:

Nome
Titolo		 Descrizione
roles/monitoring.dashboardViewer
Visualizzatore configurazione dashboard Monitoring		 Concede l'accesso di sola lettura alle configurazioni della dashboard.
roles/monitoring.dashboardEditor
Editor configurazione dashboard Monitoring		 Concede l'accesso in lettura/scrittura alle configurazioni della dashboard.

Ruoli di incidente

I seguenti ruoli concedono autorizzazioni solo per gli incidenti:

Nome
Titolo		 Descrizione
roles/monitoring.cloudConsoleIncidentViewer
Monitoring Cloud Console Incident Viewer		 Concede l'accesso per visualizzare gli incidenti utilizzando la console Google Cloud .
roles/monitoring.cloudConsoleIncidentEditor
Monitoring Cloud Console Incident Editor		 Concede l'accesso per visualizzare, confermare e chiudere gli incidenti utilizzando la console Google Cloud .

Per informazioni su come risolvere gli errori di autorizzazione IAM durante la visualizzazione degli incident, consulta Impossibile visualizzare i dettagli dell'incident a causa di un errore di autorizzazione.

Ruoli del canale di notifica

I seguenti ruoli concedono autorizzazioni solo per i canali di notifica:

Nome
Titolo		 Descrizione
roles/monitoring.notificationChannelViewer
Monitoring NotificationChannel Viewer		 Concede l'accesso di sola lettura ai canali di notifica.
roles/monitoring.notificationChannelEditor
Monitoring NotificationChannel Editor		 Concede l'accesso in lettura e scrittura ai canali di notifica.

Posticipare i ruoli di notifica

I seguenti ruoli concedono le autorizzazioni per posticipare le notifiche:

Nome
Titolo		 Descrizione
roles/monitoring.snoozeViewer
Visualizzatore posticipo Monitoring		 Concede l'accesso di sola lettura ai posticipi.
roles/monitoring.snoozeEditor
Editor posticipo Monitoring		 Concede l'accesso in lettura/scrittura ai posticipi.

Ruoli di monitoraggio dei servizi

I seguenti ruoli concedono le autorizzazioni per la gestione dei servizi:

Nome
Titolo		 Descrizione
roles/monitoring.servicesViewer
Monitoring Services Viewer		 Concede l'accesso di sola lettura ai servizi.
roles/monitoring.servicesEditor
Editor servizi di monitoraggio		 Concede l'accesso in lettura/scrittura ai servizi.

Per ulteriori informazioni sul monitoraggio dei servizi, consulta Monitoraggio SLO.

Ruoli di configurazione dei controlli di uptime

I seguenti ruoli concedono autorizzazioni solo per le configurazioni dei controlli di uptime:

Nome
Titolo		 Descrizione
roles/monitoring.uptimeCheckConfigViewer
Visualizzatore configurazioni controlli uptime Monitoring		 Concede l'accesso di sola lettura alle configurazioni dei controlli di uptime.
roles/monitoring.uptimeCheckConfigEditor
Editor configurazione controlli uptime Monitoring		 Concede l'accesso in lettura/scrittura alle configurazioni dei controlli di uptime.

Ruoli di configurazione dell'ambito delle metriche

I seguenti ruoli concedono autorizzazioni generali per gli ambiti delle metriche:

Nome
Titolo		 Descrizione
roles/monitoring.metricsScopesViewer
Visualizzatore degli ambiti delle metriche di Monitoring		 Concede l'accesso di sola lettura agli ambiti delle metriche.
roles/monitoring.metricsScopesAdmin
Monitoring Metrics Scopes Admin		 Concede l'accesso in lettura e scrittura agli ambiti delle metriche.

Autorizzazioni per i ruoli predefiniti

Questa sezione elenca le autorizzazioni assegnate ai ruoli predefiniti associati a Monitoring.

Per saperne di più sui ruoli predefiniti, consulta IAM: Ruoli e autorizzazioni. Per assistenza nella scelta dei ruoli predefiniti più appropriati, consulta Scegliere i ruoli predefiniti.

Autorizzazioni per i ruoli di monitoraggio

Role Permissions

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update
  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update
  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.metricsScopes.link
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list
  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list
  • monitoring.notificationChannels.create
  • monitoring.notificationChannels.delete
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.getVerificationCode
  • monitoring.notificationChannels.list
  • monitoring.notificationChannels.sendVerificationCode
  • monitoring.notificationChannels.update
  • monitoring.notificationChannels.verify
  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update
  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update
  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update
  • monitoring.timeSeries.create
  • monitoring.timeSeries.list
  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

  • monitoring.alertPolicies.create
  • monitoring.alertPolicies.createTagBinding
  • monitoring.alertPolicies.delete
  • monitoring.alertPolicies.deleteTagBinding
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.alertPolicies.listEffectiveTags
  • monitoring.alertPolicies.listTagBindings
  • monitoring.alertPolicies.update

monitoring.dashboards.*

  • monitoring.dashboards.create
  • monitoring.dashboards.createTagBinding
  • monitoring.dashboards.delete
  • monitoring.dashboards.deleteTagBinding
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.dashboards.listEffectiveTags
  • monitoring.dashboards.listTagBindings
  • monitoring.dashboards.update

monitoring.groups.*

  • monitoring.groups.create
  • monitoring.groups.delete
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.groups.update

monitoring.metricDescriptors.*

  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.delete
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

  • opsconfigmonitoring.resourceMetadata.list
  • opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.*

  • stackdriver.projects.edit
  • stackdriver.projects.get
  • stackdriver.resourceMetadata.list
  • stackdriver.resourceMetadata.write

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

  • Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

(roles/monitoring.notificationServiceAgent)

Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project.

bigquery.jobs.create

cloudfunctions.functions.get

cloudtrace.traces.patch

logging.links.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.list

run.routes.invoke

servicedirectory.networks.access

servicedirectory.services.resolve

serviceusage.services.use

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

  • monitoring.services.create
  • monitoring.services.delete
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.services.update

monitoring.slos.*

  • monitoring.slos.create
  • monitoring.slos.delete
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.slos.update

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

  • monitoring.snoozes.create
  • monitoring.snoozes.get
  • monitoring.snoozes.list
  • monitoring.snoozes.update

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

  • monitoring.uptimeCheckConfigs.create
  • monitoring.uptimeCheckConfigs.delete
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • monitoring.uptimeCheckConfigs.update

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

  • Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

  • monitoring.notificationChannelDescriptors.get
  • monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.enable

serviceusage.services.get

stackdriver.projects.*

  • stackdriver.projects.edit
  • stackdriver.projects.get

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Autorizzazioni di monitoraggio incluse nei ruoli di base Google Cloud

I Google Cloud ruoli di base includono le seguenti autorizzazioni:

Nome
Titolo		 Include autorizzazioni
roles/viewer
Visualizzatore 		Le autorizzazioni di monitoraggio sono le stesse di roles/monitoring.viewer.
roles/editor
Editor

Le autorizzazioni di monitoraggio sono le stesse di roles/monitoring.editor, con l'eccezione dell'autorizzazione stackdriver.projects.edit. Il ruolo roles/editor non include l'autorizzazione stackdriver.projects.edit.

Questo ruolo non concede l'autorizzazione per modificare un ambito delle metriche. Per modificare un ambito delle metriche quando utilizzi l'API, il tuo ruolo deve includere l'autorizzazione monitoring.metricsScopes.link. Per modificare l'ambito di una metrica quando utilizzi la console Google Cloud , il tuo ruolo deve includere l'autorizzazione monitoring.metricsScopes.link oppure devi disporre del ruolo roles/monitoring.editor.
roles/owner
Proprietario 		Le autorizzazioni di monitoraggio sono le stesse di roles/monitoring.admin.

Ruoli personalizzati

Potresti voler creare un ruolo personalizzato quando vuoi concedere a un'entità un insieme di autorizzazioni più limitato rispetto a quelle concesse con i ruoli predefiniti. Ad esempio, se configuri Assured Workloads perché hai requisiti di residenza dei dati o Impact Level 4 (IL4), non devi utilizzare controlli di uptime perché non vi è alcuna garanzia che i dati dei controlli di uptime vengano conservati in una posizione geografica specifica. Per impedire l'utilizzo dei controlli di uptime, crea un ruolo che non includa autorizzazioni con il prefisso monitoring.uptimeCheckConfigs.

Per creare un ruolo personalizzato con le autorizzazioni Monitoring, procedi nel seguente modo:

  • Per un ruolo che concede autorizzazioni solo per l'API Monitoring, scegli tra le autorizzazioni nella sezione Autorizzazioni e ruoli predefiniti.

  • Per un ruolo che concede autorizzazioni per Monitoring nella consoleGoogle Cloud , scegli tra i gruppi di autorizzazioni nella sezione Ruoli Monitoring.

  • Per concedere la possibilità di scrivere dati di monitoraggio, includi le autorizzazioni del ruolo roles/monitoring.metricWriter nella sezione Autorizzazioni e ruoli predefiniti.

Per ulteriori informazioni sui ruoli personalizzati, consulta la sezione Informazioni sui ruoli IAM personalizzati.

Ambiti di accesso di Compute Engine

Gli ambiti di accesso sono il metodo legacy per specificare le autorizzazioni per le tue istanze VM di Compute Engine. I seguenti ambiti di accesso si applicano a Monitoring:

Ambito di accesso Autorizzazioni concesse
https://www.googleapis.com/auth/monitoring.read Le stesse autorizzazioni di roles/monitoring.viewer.
https://www.googleapis.com/auth/monitoring.write Le stesse autorizzazioni di roles/monitoring.metricWriter.
https://www.googleapis.com/auth/monitoring Accesso completo a Monitoring.
https://www.googleapis.com/auth/cloud-platform Accesso completo a tutte le API Cloud abilitate.

Per maggiori dettagli, vedi Ambiti di accesso.

Best practice. Una buona pratica consiste nell'assegnare alle istanze VM l'ambito di accesso più potente (cloud-platform) e poi utilizzare i ruoli IAM per limitare l'accesso a operazioni e API specifiche. Per maggiori dettagli, vai a Autorizzazioni del service account.