L'API App Optimize utilizza Identity and Access Management (IAM) per controllare l'accesso alle sue risorse, come report e operazioni. IAM ti consente di concedere un accesso granulare a risorse API App Optimize specifiche e impedisce l'accesso indesiderato ad altre risorse.
Questo documento descrive i ruoli e le autorizzazioni IAM che si applicano all'API App Optimize.
Panoramica delle autorizzazioni
Le autorizzazioni consentono agli utenti di eseguire azioni specifiche sulle risorse dell'API App Optimize. La tabella seguente elenca le autorizzazioni per l'API App Optimize:
| Autorizzazione | Descrizione |
|---|---|
appoptimize.operations.cancel |
Annulla un'operazione a lunga esecuzione. |
appoptimize.operations.delete |
Elimina un'operazione a lunga esecuzione. |
appoptimize.operations.get |
Recupera lo stato di un'operazione a lunga esecuzione. |
appoptimize.operations.list |
Elenca operazioni a lunga esecuzione. |
appoptimize.reports.create |
Crea una risorsa report API App Optimize. |
appoptimize.reports.delete |
Elimina una risorsa report dell'API App Optimize. |
appoptimize.reports.get |
Leggi i metadati di configurazione di una risorsa report dell'API App Optimize. Ciò non concede l'accesso ai dati dei report. |
appoptimize.reports.getData |
Leggi i dati contenuti in un report dell'API App Optimize. |
appoptimize.reports.list |
Elenca le risorse dei report dell'API App Optimize in un progetto. |
Ruoli predefiniti
IAM fornisce ruoli predefiniti che concedono un insieme di autorizzazioni correlate. Per l'API App Optimize sono disponibili i seguenti ruoli, descritti nelle sottosezioni seguenti:
| Ruolo | Titolo | Descrizione |
|---|---|---|
roles/appoptimize.admin |
App Optimize Admin | Controllo completo dei report e delle operazioni dell'API App Optimize. |
roles/appoptimize.viewer |
App Optimize Viewer | Accesso in lettura ai metadati, ai dati e alle operazioni dei report dell'API App Optimize. |
Poiché l'API App Optimize è in anteprima, questi ruoli potrebbero non essere visibili nella console Google Cloud . Per concedere questi ruoli, utilizza Google Cloud CLI. Se non l'hai ancora fatto, installa e inizializza Google Cloud CLI.
Per concedere il ruolo Amministratore ottimizzazione app (roles/appoptimize.admin) a un utente, esegui questo comando:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:USER_EMAIL" \
--role="roles/appoptimize.admin"
Per concedere il ruolo Visualizzatore ottimizzazione app (roles/appoptimize.viewer) a un utente, esegui questo comando:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="user:USER_EMAIL" \
--role="roles/appoptimize.viewer"
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud che sarà proprietario della risorsa report.USER_EMAIL: l'indirizzo email dell'utente a cui vuoi concedere il ruolo.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
App Optimize Admin
Concede il controllo completo sulle risorse dell'API App Optimize e include le autorizzazioni concesse a App Optimize Viewer.
- Nome ruolo:
roles/appoptimize.admin - Autorizzazioni incluse:
appoptimize.operations.*appoptimize.reports.*
App Optimize Viewer
Concede le autorizzazioni per leggere i report dell'API App Optimize, i relativi metadati e le operazioni.
- Nome ruolo:
roles/appoptimize.viewer - Autorizzazioni incluse:
appoptimize.operations.getappoptimize.operations.listappoptimize.reports.getappoptimize.reports.getDataappoptimize.reports.list
Autorizzazioni per creare report
Per creare un report, un utente, un account di servizio o un'altra entità deve disporre di:
L'autorizzazione
appoptimize.reports.create, in genere concessa dal ruolo Amministratore ottimizzazione app (roles/appoptimize.admin), nel progetto in cui verrà creata la risorsa report.L'autorizzazione
billing.resourceCosts.getper tutti i progetti inclusi nel report. Questa autorizzazione viene fornita da ruoli come Visualizzatore account di fatturazione (roles/billing.viewer) o Visualizzatore di base (roles/viewer).Le autorizzazioni per accedere alle origini dati incluse nell'ambito, nelle dimensioni e nelle metriche del report. L'API App Optimize controlla queste autorizzazioni quando viene creato il report. I ruoli che concedono l'accesso a questa origine dati includono:
Per le metriche di utilizzo di CPU e memoria, il ruolo Visualizzatore Monitoring (
roles/monitoring.viewer) sulle risorse con ambito.Per gli ambiti e le dimensioni delle applicazioni App Hub, il ruolo Visualizzatore gestione app (
roles/apphub.appManagementViewer) nel progetto host App Hub delle applicazioni.
Se generi un report su un'applicazione App Hub, che può essere composta da più progetti, devi disporre delle autorizzazioni di monitoraggio e fatturazione richieste per tutti i progetti associati all'applicazione per creare il report.
Autorizzazioni per leggere i dati dei report
Una volta creato correttamente un report, un principal ha bisogno solo della seguente autorizzazione per leggere i dati generati:
appoptimize.reports.getDatasul progetto in cui è stato creato il report o sul report stesso. Questa autorizzazione è inclusa nel ruoloroles/appoptimize.viewer.
Passaggi successivi
- Scopri di più sui ruoli e le autorizzazioni IAM.
- Scopri come creare un report.
- Consulta la panoramica dell'API App Optimize.