Controlar o acesso com o IAM

OGoogle Cloud oferece gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso granular a recursos Google Cloud específicos e impede o acesso indesejado a outros recursos. Nesta página, descrevemos os papéis do Cloud IAM para o Cloud Trace.

• Para saber como atribuir papéis do IAM a uma conta de usuário ou serviço, leia Gerenciar o acesso a projetos, pastas e organizações.
• Para mais informações sobre papéis predefinidos, consulte IAM: papéis e permissões.
• Para receber ajuda para escolher os papéis predefinidos mais apropriados, consulte Escolher papéis predefinidos.

Prática recomendada

Para facilitar a solução de problemas, recomendamos que todas as pessoas, grupos e domínios que precisem acessar os dados de trace em um projeto recebam a função de usuário do Cloud Trace (roles/cloudtrace.user) nesse projeto. Esse papel concede aos administradores as permissões necessárias para visualizar dados de rastreamento.

Permissões e funções predefinidas

Os papéis do IAM incluem permissões e podem ser atribuídos a usuários, grupos e contas de serviço.

Papéis do Cloud Trace

A tabela a seguir lista os papéis predefinidos para o Cloud Trace e as permissões deles:

Role	Permissions
Cloud Trace Admin (roles/cloudtrace.admin) Provides full access to the Trace console and read-write access to traces. Lowest-level resources where you can grant this role: Project	cloudtrace.* cloudtrace.insights.get cloudtrace.insights.list cloudtrace.stats.get cloudtrace.tasks.create cloudtrace.tasks.delete cloudtrace.tasks.get cloudtrace.tasks.list cloudtrace.traceScopes.create cloudtrace.traceScopes.delete cloudtrace.traceScopes.get cloudtrace.traceScopes.list cloudtrace.traceScopes.update cloudtrace.traces.get cloudtrace.traces.list cloudtrace.traces.patch observability.scopes.get observability.traceScopes.* observability.traceScopes.create observability.traceScopes.delete observability.traceScopes.get observability.traceScopes.list observability.traceScopes.update resourcemanager.projects.get resourcemanager.projects.list telemetry.traces.write
Cloud Trace Agent (roles/cloudtrace.agent) For service accounts. Provides ability to write traces by sending the data to Stackdriver Trace. Lowest-level resources where you can grant this role: Project	cloudtrace.traces.patch telemetry.traces.write
Cloud Trace User (roles/cloudtrace.user) Provides full access to the Trace console and read access to traces. Lowest-level resources where you can grant this role: Project	cloudtrace.insights.* cloudtrace.insights.get cloudtrace.insights.list cloudtrace.stats.get cloudtrace.tasks.* cloudtrace.tasks.create cloudtrace.tasks.delete cloudtrace.tasks.get cloudtrace.tasks.list cloudtrace.traceScopes.* cloudtrace.traceScopes.create cloudtrace.traceScopes.delete cloudtrace.traceScopes.get cloudtrace.traceScopes.list cloudtrace.traceScopes.update cloudtrace.traces.get cloudtrace.traces.list observability.scopes.get observability.traceScopes.* observability.traceScopes.create observability.traceScopes.delete observability.traceScopes.get observability.traceScopes.list observability.traceScopes.update resourcemanager.projects.get resourcemanager.projects.list

Papéis da API Telemetry

A tabela a seguir lista os papéis predefinidos para a API de telemetria (OTLP) e as permissões para esses papéis:

Role	Permissions
Cloud Telemetry Metrics Writer (roles/telemetry.metricsWriter) Access to write metrics.	telemetry.metrics.write
Integrated Service Telemetry Logs Writer Beta (roles/telemetry.serviceLogsWriter) Allows an onboarded service to write log data to a destination.	telemetry.consumers.writeLogs
Integrated Service Telemetry Metrics Writer Beta (roles/telemetry.serviceMetricsWriter) Allows an onboarded service to write metrics data to a destination.	telemetry.consumers.writeMetrics
Integrated Service Telemetry Writer Beta (roles/telemetry.serviceTelemetryWriter) Allows an onboarded service to write all telemetry data to a destination.	telemetry.consumers.* telemetry.consumers.writeLogs telemetry.consumers.writeMetrics telemetry.consumers.writeTraces
Integrated Service Telemetry Traces Writer Beta (roles/telemetry.serviceTracesWriter) Allows an onboarded service to write trace data to a destination.	telemetry.consumers.writeTraces
Cloud Telemetry Traces Writer (roles/telemetry.tracesWriter) Access to write trace spans.	telemetry.traces.write
Cloud Telemetry Writer (roles/telemetry.writer) Full access to write all telemetry data.	telemetry.metrics.write telemetry.traces.write

criar papéis personalizados

Para criar um papel personalizado que inclua permissões do Cloud Trace, faça o seguinte:

• Para um papel que concede permissões apenas para a API Cloud Trace, escolha as permissões exigidas pelo método da API.
• Para um papel que concede permissões para a API e o console do Cloud Trace, escolha grupos de permissões em uma das funções predefinidas do Cloud Trace.
• Para conceder a capacidade de gravar dados de trace, inclua as permissões no papel Cloud Trace Agent (roles/cloudtrace.agent).

Para mais informações sobre funções personalizadas, acesse Criar e gerenciar funções personalizadas.

Permissões para métodos de API

Para informações sobre as permissões necessárias para executar uma chamada de API, consulte a documentação de referência da API Cloud Trace:

• Documentação da REST v1
• Documentação do REST v2
• Documentação da RPC