Mengontrol akses dengan IAM

Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. Halaman ini menjelaskan peran IAM untuk Cloud Trace.

• Untuk mempelajari cara menetapkan peran IAM ke akun pengguna atau layanan, baca Mengelola akses ke project, folder, dan organisasi.
• Untuk mengetahui informasi selengkapnya tentang peran bawaan, lihat IAM: Peran dan izin.
• Untuk mendapatkan bantuan dalam memilih peran bawaan yang paling sesuai, lihat Memilih peran bawaan.

Praktik terbaik

Untuk memfasilitasi pemecahan masalah, sebaiknya semua orang, grup, dan domain yang mungkin perlu melihat data rekaman aktivitas dalam project diberi peran Pengguna Cloud Trace (roles/cloudtrace.user) di project tersebut. Peran ini memberi akun utama izin yang diperlukan untuk melihat data rekaman aktivitas.

Izin dan peran yang telah ditetapkan

Peran IAM mencakup izin dan dapat ditetapkan ke pengguna, grup, dan akun layanan.

Peran Cloud Trace

Tabel berikut mencantumkan peran bawaan untuk Cloud Trace, dan mencantumkan izin untuk peran tersebut:

Role	Permissions
Cloud Trace Admin (roles/cloudtrace.admin) Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role: Project	cloudtrace.* cloudtrace.insights.get cloudtrace.insights.list cloudtrace.stats.get cloudtrace.tasks.create cloudtrace.tasks.delete cloudtrace.tasks.get cloudtrace.tasks.list cloudtrace.traceScopes.create cloudtrace.traceScopes.delete cloudtrace.traceScopes.get cloudtrace.traceScopes.list cloudtrace.traceScopes.update cloudtrace.traces.get cloudtrace.traces.list cloudtrace.traces.patch observability.scopes.get observability.traceScopes.* observability.traceScopes.create observability.traceScopes.delete observability.traceScopes.get observability.traceScopes.list observability.traceScopes.update resourcemanager.projects.get resourcemanager.projects.list telemetry.traces.write
Cloud Trace Agent (roles/cloudtrace.agent) For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role: Project	cloudtrace.traces.patch telemetry.traces.write
Cloud Trace User (roles/cloudtrace.user) Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role: Project	cloudtrace.insights.* cloudtrace.insights.get cloudtrace.insights.list cloudtrace.stats.get cloudtrace.tasks.* cloudtrace.tasks.create cloudtrace.tasks.delete cloudtrace.tasks.get cloudtrace.tasks.list cloudtrace.traceScopes.* cloudtrace.traceScopes.create cloudtrace.traceScopes.delete cloudtrace.traceScopes.get cloudtrace.traceScopes.list cloudtrace.traceScopes.update cloudtrace.traces.get cloudtrace.traces.list observability.scopes.get observability.traceScopes.* observability.traceScopes.create observability.traceScopes.delete observability.traceScopes.get observability.traceScopes.list observability.traceScopes.update resourcemanager.projects.get resourcemanager.projects.list

Peran Telemetry API

Tabel berikut mencantumkan peran bawaan untuk Telemetry (OTLP) API, dan mencantumkan izin untuk peran tersebut:

Role	Permissions
Cloud Telemetry Metrics Writer (roles/telemetry.metricsWriter) Access to write metrics.	telemetry.metrics.write
Integrated Service Telemetry Logs Writer Beta (roles/telemetry.serviceLogsWriter) Allows an onboarded service to write log data to a destination.	telemetry.consumers.writeLogs
Integrated Service Telemetry Metrics Writer Beta (roles/telemetry.serviceMetricsWriter) Allows an onboarded service to write metrics data to a destination.	telemetry.consumers.writeMetrics
Integrated Service Telemetry Writer Beta (roles/telemetry.serviceTelemetryWriter) Allows an onboarded service to write all telemetry data to a destination.	telemetry.consumers.* telemetry.consumers.writeLogs telemetry.consumers.writeMetrics telemetry.consumers.writeTraces
Integrated Service Telemetry Traces Writer Beta (roles/telemetry.serviceTracesWriter) Allows an onboarded service to write trace data to a destination.	telemetry.consumers.writeTraces
Cloud Telemetry Traces Writer (roles/telemetry.tracesWriter) Access to write trace spans.	telemetry.traces.write
Cloud Telemetry Writer (roles/telemetry.writer) Full access to write all telemetry data.	telemetry.metrics.write telemetry.traces.write

Membuat peran ubahsuaian

Untuk membuat peran khusus yang menyertakan izin Cloud Trace, lakukan tindakan berikut:

• Untuk peran yang hanya memberikan izin untuk Cloud Trace API, pilih izin yang diperlukan oleh metode API.
• Untuk peran yang memberikan izin untuk konsol dan Cloud Trace API, pilih grup izin dari salah satu peran Cloud Trace standar.
• Untuk memberikan kemampuan menulis data rekaman aktivitas, sertakan izin dalam peran Agen Cloud Trace (roles/cloudtrace.agent).

Untuk mengetahui informasi selengkapnya tentang peran khusus, buka Membuat dan mengelola peran khusus.

Izin untuk metode API

Untuk informasi tentang izin yang diperlukan untuk menjalankan panggilan API, lihat dokumentasi referensi Cloud Trace API:

• Dokumentasi REST v1
• Dokumentasi REST v2
• Dokumentasi RPC