Controlla l'accesso con IAM

Google Cloud offre Identity and Access Management (IAM), che consente di assegnare accesso granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. Questa pagina descrive i ruoli IAM per Cloud Trace.

Best practice

Per facilitare la risoluzione dei problemi, consigliamo di concedere a tutti gli utenti, i gruppi e i domini che potrebbero dover visualizzare i dati di traccia in un progetto il ruolo Utente Cloud Trace (roles/cloudtrace.user) in quel progetto. Questo ruolo concede alle entità le autorizzazioni necessarie per visualizzare i dati di traccia.

Autorizzazioni e ruoli predefiniti

I ruoli IAM includono le autorizzazioni e possono essere assegnati a utenti, gruppi e account di servizio.

Ruoli di Cloud Trace

La tabella seguente elenca i ruoli predefiniti per Cloud Trace e le relative autorizzazioni:

Role Permissions

(roles/cloudtrace.admin)

Provides full access to the Trace console and read-write access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list
  • cloudtrace.stats.get
  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list
  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • cloudtrace.traces.patch

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

telemetry.traces.write

(roles/cloudtrace.agent)

For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.traces.patch

telemetry.traces.write

(roles/cloudtrace.user)

Provides full access to the Trace console and read access to traces.

Lowest-level resources where you can grant this role:

  • Project

cloudtrace.insights.*

  • cloudtrace.insights.get
  • cloudtrace.insights.list

cloudtrace.stats.get

cloudtrace.tasks.*

  • cloudtrace.tasks.create
  • cloudtrace.tasks.delete
  • cloudtrace.tasks.get
  • cloudtrace.tasks.list

cloudtrace.traceScopes.*

  • cloudtrace.traceScopes.create
  • cloudtrace.traceScopes.delete
  • cloudtrace.traceScopes.get
  • cloudtrace.traceScopes.list
  • cloudtrace.traceScopes.update

cloudtrace.traces.get

cloudtrace.traces.list

observability.scopes.get

resourcemanager.projects.get

resourcemanager.projects.list

Ruoli dell'API Telemetry

La tabella seguente elenca i ruoli predefiniti per l'API di telemetria (OTLP) e le autorizzazioni per questi ruoli:

Role Permissions

(roles/telemetry.metricsWriter)

Access to write metrics.

telemetry.metrics.write

(roles/telemetry.tracesWriter)

Access to write trace spans.

telemetry.traces.write

(roles/telemetry.writer)

Full access to write all telemetry data.

telemetry.*

  • telemetry.metrics.write
  • telemetry.traces.write

Creazione di ruoli personalizzati

Per creare un ruolo personalizzato che includa le autorizzazioni di Cloud Trace, svolgi i seguenti passaggi:

  • Per un ruolo che concede autorizzazioni solo per l'API Cloud Trace, scegli le autorizzazioni richieste dal metodo dell'API.
  • Per un ruolo che concede autorizzazioni per l'API e la console Cloud Trace, scegli i gruppi di autorizzazione da uno dei ruoli Cloud Trace predefiniti.
  • Per concedere la possibilità di scrivere i dati di traccia, includi le autorizzazioni nel ruolo Agente Cloud Trace (roles/cloudtrace.agent).

Per ulteriori informazioni sui ruoli personalizzati, vai a Creare e gestire i ruoli personalizzati.

Autorizzazioni per i metodi API

Per informazioni sulle autorizzazioni necessarie per eseguire una chiamata API, consulta la documentazione di riferimento dell'API Cloud Trace: