Die App Optimize API verwendet Identity and Access Management (IAM), um den Zugriff auf ihre Ressourcen wie Berichte und Vorgänge zu steuern. Mit IAM können Sie detaillierte Zugriffsberechtigungen auf bestimmte App Optimize API-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern.
In diesem Dokument werden die IAM-Berechtigungen und -Rollen beschrieben, die für die App Optimize API gelten.
Übersicht über Berechtigungen
Mit Berechtigungen werden Nutzer autorisiert, bestimmte Aktionen für App Optimize API-Ressourcen durchzuführen. In der folgenden Tabelle sind die Berechtigungen für die App Optimize API aufgeführt:
| Berechtigung | Beschreibung |
|---|---|
appoptimize.operations.cancel |
Vorgang mit langer Ausführungszeit abbrechen |
appoptimize.operations.delete |
Lange laufenden Vorgang löschen. |
appoptimize.operations.get |
Status eines Vorgangs mit langer Ausführungszeit abrufen |
appoptimize.operations.list |
Vorgänge mit langer Ausführungszeit auflisten |
appoptimize.reports.create |
Erstellen Sie eine App Optimize API-Berichtressource. |
appoptimize.reports.delete |
Löscht eine App Optimize API-Berichtressource. |
appoptimize.reports.get |
Konfigurationsmetadaten einer App Optimize API-Berichtressource lesen.
Damit wird kein Zugriff auf Berichtsdaten gewährt. |
appoptimize.reports.getData |
Daten in einem App Optimize API-Bericht lesen |
appoptimize.reports.list |
App Optimize API-Berichtressourcen in einem Projekt auflisten. |
Vordefinierte Rollen
IAM bietet vordefinierte Rollen, mit denen Sie bestimmte zusammengehörige Berechtigungen gewähren. Die folgenden Rollen sind für die App Optimize API verfügbar:
| Rolle | Titel | Beschreibung |
|---|---|---|
roles/appoptimize.admin |
App Optimize Admin | Sie haben die vollständige Kontrolle über Berichte und Vorgänge der App Optimize API. |
roles/appoptimize.viewer |
App Optimize Viewer | Lesezugriff auf App Optimize API-Berichtsmetadaten, Berichtsdaten und ‑vorgänge. |
IAM-Rolle erteilen
Sie können einem Prinzipal eine IAM-Rolle über dieGoogle Cloud -Console oder die Google Cloud CLI zuweisen.
Console
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Klicken Sie auf Zugriff gewähren.
Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Hauptkontos ein, dem die Rolle zugewiesen werden soll.
Klicken Sie auf das Drop-down-Menü Rolle auswählen.
Filtern Sie nach App Optimize-Rollen und wählen Sie die Rolle aus, die Sie zuweisen möchten, z. B. „App Optimize-Administrator“ oder „App Optimize-Betrachter“.
Klicken Sie auf Speichern.
gcloud
Installieren und initialisieren Sie die Google Cloud CLI, falls noch nicht geschehen.
Verwenden Sie den Befehl
gcloud projects add-iam-policy-binding, um die Rolle zuzuweisen:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="PRINCIPAL" \ --role="ROLE_NAME"Ersetzen Sie Folgendes:
PROJECT_ID: die ID Ihres Projekts in Google Cloud .PRINCIPAL: die Kennung für das Hauptkonto, z. B.user:my-user@example.comodergroup:my-group@example.com. Weitere Informationen finden Sie unter Hauptkonto-Kennungen.ROLE_NAME: die zu gewährende Rolle, z. B.roles/appoptimize.adminoderroles/appoptimize.viewer.
So weisen Sie dem Nutzer test-user@example.com für das Projekt my-appoptimize-project beispielsweise die Rolle „App Optimize-Administrator“ zu:
gcloud projects add-iam-policy-binding my-appoptimize-project \
--member="user:test-user@example.com" \
--role="roles/appoptimize.admin"
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
App Optimize Admin
Mit der Rolle „App Optimize Admin“ haben Sie die vollständige Kontrolle über App Optimize API-Ressourcen. Sie umfasst auch die Berechtigungen, die der Rolle „App Optimize Viewer“ zugewiesen sind.
| Rollenname | Enthaltene Berechtigungen |
|---|---|
roles/appoptimize.admin |
|
App Optimize Viewer
Mit der Rolle „App Optimize Viewer“ werden Berechtigungen zum Lesen von App Optimize API-Berichten, deren Metadaten und Vorgängen gewährt.
| Rollenname | Enthaltene Berechtigungen |
|---|---|
roles/appoptimize.viewer |
|
Berechtigungen zum Erstellen von Berichten
Zum Erstellen eines Berichts muss ein Nutzer, ein Dienstkonto oder ein anderes Hauptkonto Folgendes haben:
Die Berechtigung
appoptimize.reports.createfür das Projekt, in dem die Berichtsressource erstellt wird. Diese Berechtigung ist in der Rolle „App Optimize-Administrator“ (roles/appoptimize.admin) enthalten.Die Berechtigung
billing.resourceCosts.getfür alle Projekte, die im Bericht enthalten sind. Diese Berechtigung wird durch Rollen wie „Abrechnungskontobetrachter“ (roles/billing.viewer) oder die einfache Rolle „Betrachter“ (roles/viewer) erteilt.Berechtigungen für den Zugriff auf die Datenquellen, die vom Umfang des Berichts, den Dimensionen und den Messwerten abgedeckt werden. Die App Optimize API prüft diese Berechtigungen, wenn der Bericht erstellt wird. Die Rollen, die Zugriff auf diese Datenquelle gewähren, sind:
Für Messwerte zur CPU- und Speicherauslastung: Monitoring Viewer (
roles/monitoring.viewer) für die Ressourcen mit Bereich.Für App Hub-Anwendungsbereiche und ‑dimensionen: App Management Viewer (
roles/apphub.appManagementViewer) für das App Hub-Hostprojekt der Anwendungen.
Wenn Sie einen Bericht zu einer App Hub-Anwendung erstellen, die aus mehreren Projekten bestehen kann, benötigen Sie die erforderlichen Berechtigungen für Monitoring und Abrechnung für alle zugehörigen Projekte der Anwendung, um den Bericht zu erstellen.
Berechtigungen zum Lesen von Berichtsdaten
Nachdem ein Bericht erfolgreich erstellt wurde, benötigt ein Hauptkonto nur die Berechtigung appoptimize.reports.getData, um die generierten Daten zu lesen. Diese Berechtigung kann für das Projekt, in dem der Bericht erstellt wurde, oder für den Bericht selbst gelten. Sie ist in den Rollen „App Optimize-Administrator“ und „App Optimize-Betrachter“ enthalten.
Nächste Schritte
- Weitere Informationen zu IAM-Rollen und ‑Berechtigungen
- Weitere Informationen zum Erstellen von Berichten
- Lesen Sie die Übersicht zur App Optimize API.