Monitoring を使用するには、適切な Identity and Access Management (IAM)権限が必要です。一般に、API の各 REST メソッドには権限が関連付けられています。このメソッドを使用するか、このメソッドに依存するコンソール機能を使用するには、対応するメソッドを使用する権限が必要です。権限はユーザーに直接付与されるのではなく、ロールを通して間接的に付与されます。ロールは、複数の権限をグループ化して管理しやすいようにしたものです。
一般的な権限の組み合わせを含むロールは事前に定義されています。ただし、IAM カスタムロール を作成して、独自の権限の組み合わせを作成することもできます。
ベスト プラクティス
Google Cloud プロジェクトへのアクセス権を管理するために、Google グループを作成することをおすすめします。
VPC Service Controls
Monitoring データへのアクセス制御を強化するには、IAM に加えて VPC Service Controls を使用します。
VPC Service Controls により、Cloud Monitoring のセキュリティを強化して、データ引き出しのリスクを低減できます。VPC Service Controls を使用すると、サービス境界に指標スコープ を追加して、境界の外部で発生するリクエストから Cloud Monitoring のリソースとサービスを保護できます。
サービス境界の詳細については、VPC Service Controls のサービス境界構成のドキュメント をご覧ください。
既知の制限など、VPC Service Controls に対する Monitoring のサポートについては、Monitoring VPC Service Controls ドキュメント を参照してください。
Cloud Monitoring へのアクセス権を付与する
プリンシパルの IAM ロールを管理するには、 Google Cloud コンソールの [Identity and Access Management] ページまたは Google Cloud CLI を使用します。ただし、Cloud Monitoring には Monitoring 固有のロール、プロジェクト レベルのロール、Cloud Logging と Cloud Trace の一般的なロールを管理できるシンプルなインターフェースが用意されています。
注: プリンシパルに IAM ロールを付与するには、オーナーの IAM ロールが必要です。 プリンシパルに Monitoring、Cloud Logging、Cloud Trace へのアクセス権を付与するか、プロジェクト レベルのロールを付与するには、次のようにします。
コンソール
Google Cloud コンソールで、[person 権限 ] ページに移動します。
[権限 ] に移動
検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring ] の結果を選択します。
[アクセス権を持つプリンシパル ] ページには、すべてのプリンシパルが表示されるわけではありません。プロジェクト レベルのロールを持つプリンシパル、または Monitoring、Logging、Trace に固有のロールのみが一覧表示されます。
このページのオプションを使用すると、ロールに Monitoring の権限が含まれるすべてのプリンシパルを表示できます。
[person_add アクセスを許可 ] をクリックします。
[新しいプリンシパル ] をクリックし、プリンシパルのユーザー名を入力します。複数のプリンシパルを追加できます。
[arrow_drop_down ロールを選択 ] を開き、[プロダクトまたはサービス ] メニューから値を選択してから、[ロール ] メニューからロールを選択します。
プロダクトまたはサービス の選択ロール の選択説明
Monitoring
モニタリング閲覧者 Monitoring データと構成情報の表示。たとえば、このロールを持つプリンシパルは、カスタム ダッシュボード とアラート ポリシー を表示できます。
Monitoring
モニタリング編集者 Monitoring データの表示、構成の作成と編集。たとえば、このロールを持つプリンシパルは、カスタム ダッシュボード とアラート ポリシー を作成できます。
Monitoring
モニタリング管理者 Google Cloud コンソールの Monitoring と Cloud Monitoring API への完全アクセス権。Monitoring データの表示、構成の作成と編集、指標スコープ の変更を行うことができます。
Cloud Trace
Cloud Trace ユーザー Trace コンソールへの完全アクセス権、トレースへの読み取りアクセス権、シンクへの読み取り / 書き込みアクセス権。詳細については、Trace のロール をご覧ください。
Cloud Trace
Cloud Trace 管理者 Trace コンソールへの完全アクセス権、トレースへの読み取り / 書き込みアクセス権、シンクへの読み取り / 書き込みアクセス権。詳細については、Trace のロール をご覧ください。
Logging
ログ閲覧者 ログの閲覧権限。詳細については、Logging のロール をご覧ください。
Logging
ロギング管理者 Cloud Logging のすべての機能に対する完全アクセス。詳細については、Logging のロール をご覧ください。
プロジェクト
閲覧者 ほとんどの Google Cloud リソースに対する閲覧権限。
プロジェクト
編集者 ほとんどの Google Cloud リソースの表示、作成、更新、削除。
プロジェクト
オーナー ほとんどの Google Cloud リソースに対する完全アクセス。
省略可: 同じプリンシパルに別のロールを付与するには、[別のロールを追加 ] をクリックして前の手順を繰り返します。
[保存 ] をクリックします。
上記の手順では、 Google Cloud コンソールの [Monitoring] ページを使用して、プリンシパルに特定のロールを付与する方法について説明しています。これらのロールについて、このページでは編集や削除を行うこともできます。
gcloud gcloud projects add-iam-policy-bindingmonitoring.viewer または monitoring.editor ロールを付与します。
例:
export PROJECT_ID = "my-test-project"
export EMAIL_ADDRESS = "myuser@gmail.com"
gcloud projects add - iam - policy - binding \
$ PROJECT_ID \
-- member = "user:$EMAIL_ADDRESS" \
-- role = "roles/monitoring.editor"
付与されたロールは、gcloud projects get-iam-policy
export PROJECT_ID = "my-test-project"
gcloud projects get - iam - policy $ PROJECT_ID
事前定義ロール
このセクションでは、Cloud Monitoring で事前定義されている IAM ロールのサブセットについて説明します。
Monitoring のロール
以下のロールは、Monitoring の一般的な権限を付与します。
名称
含まれている権限
roles/monitoring.viewer
Google Cloud コンソールの Monitoring と Cloud Monitoring API への読み取り専用アクセス権を付与します。
roles/monitoring.editor
Google Cloud コンソールの Monitoring と Cloud Monitoring API への読み取り / 書き込みアクセス権を付与します。
roles/monitoring.admin
Google Cloud コンソールの Monitoring と Cloud Monitoring API への完全アクセス権を付与します。
サービス アカウントでは、書き込み専用アクセスとして以下のロールを使用します。
名称
説明
roles/monitoring.metricWriter
このロールは、サービス アカウントとエージェント用です。
アラート ポリシーのロール
次のロールは、アラート ポリシーに関する権限を付与します。
名称
説明
roles/monitoring.alertPolicyViewerアラート ポリシーへの読み取り専用アクセス権を付与します。
roles/monitoring.alertPolicyEditorアラート ポリシーへの読み取り / 書き込みアクセス権を付与します。
ダッシュボードのロール
以下のロールは、ダッシュボードに関する権限のみを付与します。
名称
説明
roles/monitoring.dashboardViewerダッシュボード構成に対する読み取り専用アクセス権を付与します。
roles/monitoring.dashboardEditorダッシュボード構成に対する読み取り / 書き込みアクセス権を付与します。
インシデントのロール
以下のロールは、インシデントに関する権限のみを付与します。
名称
説明
roles/monitoring.cloudConsoleIncidentViewer Google Cloud コンソールを使用してインシデントを表示するためのアクセス権を付与します。
roles/monitoring.cloudConsoleIncidentEditor Google Cloud コンソールを使用してインシデントを表示、確認、クローズするためのアクセス権を付与します。
注: これらのロールに関連付けられた個々の権限を付与することはできません。 インシデントを表示する際の IAM 権限エラーを解決する方法については、権限エラーのため、インシデントの詳細を表示できない をご覧ください。
通知チャネルのロール
以下のロールは、通知チャネルに関する権限のみを付与します。
名称
説明
roles/monitoring.notificationChannelViewer通知チャネルへの読み取り専用アクセス権を付与します。
roles/monitoring.notificationChannelEditor通知チャネルへの読み取り / 書き込みアクセス権を付与します。
通知のスヌーズのロール
以下のロールは、通知をスヌーズするための権限を付与します。
名称
説明
roles/monitoring.snoozeViewerスヌーズに対する読み取り専用アクセス権を付与します。
roles/monitoring.snoozeEditorスヌーズに対する読み取り / 書き込みアクセス権を付与します。
サービス モニタリングのロール
以下のロールは、サービスを管理するための権限を付与します。
名称
説明
roles/monitoring.servicesViewerサービスに対する読み取り専用アクセス権を付与します。
roles/monitoring.servicesEditorサービスに対する読み取り / 書き込みアクセス権を付与します。
サービス モニタリングの詳細については、SLO モニタリング をご覧ください。
稼働時間チェック構成のロール
以下のロールは、稼働時間チェック構成に関する権限のみを付与します。
名称
説明
roles/monitoring.uptimeCheckConfigViewer稼働時間チェック構成への読み取り専用アクセス権を付与します。
roles/monitoring.uptimeCheckConfigEditor稼働時間チェック構成への読み取り / 書き込みアクセス権を付与します。
指標スコープ構成のロール
以下のロールは、指標スコープ に対する一般的な権限を付与します。
名称
説明
roles/monitoring.metricsScopesViewer指標スコープに対する読み取り専用アクセス権を付与します。
roles/monitoring.metricsScopesAdmin指標スコープに対する読み取り / 書き込みアクセス権を付与します。
事前定義ロールの権限
このセクションでは、Monitoring に関連付けられている事前定義ロールに割り当てられている権限について説明します。
注: ロールの権限が表示されない場合、そのロールの一般公開権限はありません。 事前定義ロールの詳細については、IAM: ロールと権限 をご覧ください。最適な事前定義ロールを選択する方法については、事前定義ロールの選択 をご覧ください。
Monitoring のロールの権限
Role
Permissions
Monitoring Admin
(roles/monitoring.admin )
Provides full access to Cloud Monitoring.
Lowest-level resources where you can grant this role:
cloudnotifications.activities.list
monitoring.*
monitoring.alertPolicies.create monitoring.alertPolicies.createTagBinding monitoring.alertPolicies.delete monitoring.alertPolicies.deleteTagBinding monitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.listEffectiveTags monitoring.alertPolicies.listTagBindings monitoring.alertPolicies.update monitoring.alerts.getmonitoring.alerts.listmonitoring.dashboards.createmonitoring.dashboards.createTagBinding monitoring.dashboards.deletemonitoring.dashboards.deleteTagBinding monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.listEffectiveTags monitoring.dashboards.listTagBindings monitoring.dashboards.updatemonitoring.groups.createmonitoring.groups.deletemonitoring.groups.getmonitoring.groups.listmonitoring.groups.updatemonitoring.metricDescriptors.create monitoring.metricDescriptors.delete monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.metricsScopes.linkmonitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list monitoring.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.list monitoring.notificationChannels.create monitoring.notificationChannels.delete monitoring.notificationChannels.get monitoring.notificationChannels.getVerificationCode monitoring.notificationChannels.list monitoring.notificationChannels.sendVerificationCode monitoring.notificationChannels.update monitoring.notificationChannels.verify monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.updatemonitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.updatemonitoring.snoozes.createmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.snoozes.updatemonitoring.timeSeries.createmonitoring.timeSeries.listmonitoring.uptimeCheckConfigs.create monitoring.uptimeCheckConfigs.delete monitoring.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.list monitoring.uptimeCheckConfigs.update
opsconfigmonitoring.*
opsconfigmonitoring.resourceMetadata.list opsconfigmonitoring.resourceMetadata.write
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.consumerpolicy.*
serviceusage.consumerpolicy.analyze serviceusage.consumerpolicy.get serviceusage.consumerpolicy.update
serviceusage.effectivepolicy.get
serviceusage.groups.*
serviceusage.groups.listserviceusage.groups.listExpandedMembers serviceusage.groups.listMembers
serviceusage.services.enable
serviceusage.services.get
serviceusage.values.test
stackdriver.*
stackdriver.projects.editstackdriver.projects.getstackdriver.resourceMetadata.list stackdriver.resourceMetadata.write
telemetry.metrics.write
Monitoring AlertPolicy Editor
(roles/monitoring.alertPolicyEditor )
Read/write access to alerting policies.
monitoring.alertPolicies.*
monitoring.alertPolicies.create monitoring.alertPolicies.createTagBinding monitoring.alertPolicies.delete monitoring.alertPolicies.deleteTagBinding monitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.listEffectiveTags monitoring.alertPolicies.listTagBindings monitoring.alertPolicies.update
Monitoring AlertPolicy Viewer
(roles/monitoring.alertPolicyViewer )
Read-only access to alerting policies.
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
Monitoring Alert Viewer
Beta
(roles/monitoring.alertViewer )
Read access to alerts.
monitoring.alerts.*
monitoring.alerts.getmonitoring.alerts.list
Monitoring Cloud Console Incident Editor
Beta
(roles/monitoring.cloudConsoleIncidentEditor )
Read/write access to incidents from Cloud Console.
monitoring.alerts.*
monitoring.alerts.getmonitoring.alerts.list
Monitoring Cloud Console Incident Viewer
Beta
(roles/monitoring.cloudConsoleIncidentViewer )
Read access to incidents from Cloud Console.
monitoring.alerts.*
monitoring.alerts.getmonitoring.alerts.list
Monitoring Dashboard Configuration Editor
(roles/monitoring.dashboardEditor )
Read/write access to dashboard configurations.
monitoring.dashboards.*
monitoring.dashboards.createmonitoring.dashboards.createTagBinding monitoring.dashboards.deletemonitoring.dashboards.deleteTagBinding monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.listEffectiveTags monitoring.dashboards.listTagBindings monitoring.dashboards.update
Monitoring Dashboard Configuration Viewer
(roles/monitoring.dashboardViewer )
Read-only access to dashboard configurations.
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
Monitoring Editor
(roles/monitoring.editor )
Provides full access to information about all monitoring data and
configurations.
Lowest-level resources where you can grant this role:
cloudnotifications.activities.list
monitoring.alertPolicies.*
monitoring.alertPolicies.create monitoring.alertPolicies.createTagBinding monitoring.alertPolicies.delete monitoring.alertPolicies.deleteTagBinding monitoring.alertPolicies.getmonitoring.alertPolicies.listmonitoring.alertPolicies.listEffectiveTags monitoring.alertPolicies.listTagBindings monitoring.alertPolicies.update
monitoring.alerts.*
monitoring.alerts.getmonitoring.alerts.list
monitoring.dashboards.*
monitoring.dashboards.createmonitoring.dashboards.createTagBinding monitoring.dashboards.deletemonitoring.dashboards.deleteTagBinding monitoring.dashboards.getmonitoring.dashboards.listmonitoring.dashboards.listEffectiveTags monitoring.dashboards.listTagBindings monitoring.dashboards.update
monitoring.groups.*
monitoring.groups.createmonitoring.groups.deletemonitoring.groups.getmonitoring.groups.listmonitoring.groups.update
monitoring.metricDescriptors.*
monitoring.metricDescriptors.create monitoring.metricDescriptors.delete monitoring.metricDescriptors.get monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.services.*
monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.update
monitoring.slos.*
monitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.update
monitoring.snoozes.*
monitoring.snoozes.createmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.snoozes.update
monitoring.timeSeries.*
monitoring.timeSeries.createmonitoring.timeSeries.list
monitoring.uptimeCheckConfigs.*
monitoring.uptimeCheckConfigs.create monitoring.uptimeCheckConfigs.delete monitoring.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.list monitoring.uptimeCheckConfigs.update
opsconfigmonitoring.*
opsconfigmonitoring.resourceMetadata.list opsconfigmonitoring.resourceMetadata.write
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.consumerpolicy.*
serviceusage.consumerpolicy.analyze serviceusage.consumerpolicy.get serviceusage.consumerpolicy.update
serviceusage.effectivepolicy.get
serviceusage.groups.*
serviceusage.groups.listserviceusage.groups.listExpandedMembers serviceusage.groups.listMembers
serviceusage.services.enable
serviceusage.services.get
serviceusage.values.test
stackdriver.*
stackdriver.projects.editstackdriver.projects.getstackdriver.resourceMetadata.list stackdriver.resourceMetadata.write
telemetry.metrics.write
Monitoring Metric Writer
(roles/monitoring.metricWriter )
Provides write-only access to metrics. This provides exactly the permissions
needed by the Cloud Monitoring agent and other systems that send metrics.
Lowest-level resources where you can grant this role:
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list
monitoring.timeSeries.create
telemetry.metrics.write
Monitoring Metrics Scopes Admin
Beta
(roles/monitoring.metricsScopesAdmin )
Access to add and remove monitored projects from metrics scopes.
monitoring.metricsScopes.link
resourcemanager.projects.get
resourcemanager.projects.list
Monitoring Metrics Scopes Viewer
Beta
(roles/monitoring.metricsScopesViewer )
Read-only access to metrics scopes and their monitored projects.
resourcemanager.projects.get
resourcemanager.projects.list
Monitoring NotificationChannel Editor
Beta
(roles/monitoring.notificationChannelEditor )
Read/write access to notification channels.
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
Monitoring NotificationChannel Viewer
Beta
(roles/monitoring.notificationChannelViewer )
Read-only access to notification channels.
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.get
monitoring.notificationChannels.list
Monitoring Service Agent
(roles/monitoring.notificationServiceAgent )
Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project.
Warning: Do not grant service agent roles to any principals except
service agents .
bigquery.jobs.create
cloudfunctions.functions.get
cloudtrace.traces.patch
logging.links.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.update
monitoring.timeSeries.list
observability.links.list
run.routes.invoke
servicedirectory.networks.access
servicedirectory.services.resolve
serviceusage.services.use
Monitoring Services Editor
(roles/monitoring.servicesEditor )
Read/write access to services.
monitoring.services.*
monitoring.services.createmonitoring.services.deletemonitoring.services.getmonitoring.services.listmonitoring.services.update
monitoring.slos.*
monitoring.slos.createmonitoring.slos.deletemonitoring.slos.getmonitoring.slos.listmonitoring.slos.update
Monitoring Services Viewer
(roles/monitoring.servicesViewer )
Read-only access to services.
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
Monitoring Snooze Editor
(roles/monitoring.snoozeEditor )
monitoring.snoozes.*
monitoring.snoozes.createmonitoring.snoozes.getmonitoring.snoozes.listmonitoring.snoozes.update
Monitoring Snooze Viewer
(roles/monitoring.snoozeViewer )
monitoring.snoozes.get
monitoring.snoozes.list
Monitoring Uptime Check Configuration Editor
Beta
(roles/monitoring.uptimeCheckConfigEditor )
Read/write access to uptime check configurations.
monitoring.uptimeCheckConfigs.*
monitoring.uptimeCheckConfigs.create monitoring.uptimeCheckConfigs.delete monitoring.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.list monitoring.uptimeCheckConfigs.update
Monitoring Uptime Check Configuration Viewer
Beta
(roles/monitoring.uptimeCheckConfigViewer )
Read-only access to uptime check configurations.
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
Monitoring Viewer
(roles/monitoring.viewer )
Provides read-only access to get and list information about all monitoring
data and configurations.
Lowest-level resources where you can grant this role:
cloudnotifications.activities.list
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alerts.*
monitoring.alerts.getmonitoring.alerts.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.groups.get
monitoring.groups.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.monitoredResourceDescriptors.get monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannelDescriptors.get monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
opsconfigmonitoring.resourceMetadata.list
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get
stackdriver.resourceMetadata.list
(roles/opsconfigmonitoring.resourceMetadata.viewer )
Read-only access to resource metadata.
opsconfigmonitoring.resourceMetadata.list
(roles/opsconfigmonitoring.resourceMetadata.writer )
Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.
opsconfigmonitoring.resourceMetadata.write
Stackdriver Accounts Editor
(roles/stackdriver.accounts.editor )
Read/write access to manage Stackdriver account structure.
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.consumerpolicy.*
serviceusage.consumerpolicy.analyze serviceusage.consumerpolicy.get serviceusage.consumerpolicy.update
serviceusage.effectivepolicy.get
serviceusage.groups.*
serviceusage.groups.listserviceusage.groups.listExpandedMembers serviceusage.groups.listMembers
serviceusage.services.enable
serviceusage.services.get
serviceusage.values.test
stackdriver.projects.*
stackdriver.projects.editstackdriver.projects.get
Stackdriver Accounts Viewer
(roles/stackdriver.accounts.viewer )
Read-only access to get and list information about Stackdriver account structure.
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get
(roles/stackdriver.resourceMetadata.writer )
Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.
stackdriver.resourceMetadata.write
Google Cloud 基本ロールに含まれている Monitoring の権限
Google Cloud 基本ロール には次の権限が含まれています。
名称
含まれている権限
roles/viewer
Monitoring の権限は、roles/monitoring.viewer の権限と同じです。
roles/editor
Monitoring の権限は、stackdriver.projects.edit 権限を除き、roles/monitoring.editor の権限と同じです。roles/editor ロールには stackdriver.projects.edit 権限は含まれていません。
このロールでは、指標スコープを変更する権限は付与されません。API の使用時に指標スコープを変更するには、ロールに monitoring.metricsScopes.link 権限を含める必要があります。 Google Cloud コンソールの使用時に指標スコープを変更するには、ロールに monitoring.metricsScopes.link 権限を含めるか、roles/monitoring.editor ロールが必要です。
roles/owner
Monitoring の権限は、roles/monitoring.admin の権限と同じです。
カスタムロール
事前定義ロールで付与される権限よりも限定的な権限セットをプリンシパルに付与する場合は、カスタムロールを作成します。たとえば、データ所在地または影響レベル 4(IL4) の要件があるために Assured Workloads を設定した場合は、稼働時間チェック を使用しないでください。稼働時間チェックのデータは、特定のロケーションに保持されることが保証されません。稼働時間チェックの使用を防ぐには、接頭辞 monitoring.uptimeCheckConfigs が付いた権限を含まないロールを作成します。
Monitoring の権限を持つカスタムロールを作成するには、次のようにします。
Monitoring API に関する権限のみを付与するロールについては、権限と事前定義ロール セクションの権限から選択します。
Google Cloud コンソールで Monitoring の権限を付与するロールについては、Monitoring のロール セクションの権限グループから選択します。
Monitoring データの書き込み権限を付与するには、権限と事前定義ロール セクションの roles/monitoring.metricWriter ロールの権限を含めます。
カスタムロールについて詳しくは、IAM のカスタムロールについて をご覧ください。
Compute Engine のアクセス スコープ
アクセス スコープ は、Compute Engine VM インスタンスに関する権限を指定するレガシーな方法です。Monitoring には次のアクセス スコープが適用されます。
アクセス スコープ
付与される権限
https://www.googleapis.com/auth/monitoring.read
roles/monitoring.viewer に含まれる権限と同じ。
https://www.googleapis.com/auth/monitoring.write
roles/monitoring.metricWriter に含まれる権限と同じ。
https://www.googleapis.com/auth/monitoring
Monitoring に対する完全アクセス権。
https://www.googleapis.com/auth/cloud-platform
有効にされているすべての Cloud API に対する完全アクセス権。
詳しくは、アクセス スコープ をご覧ください。
ベスト プラクティス。 VM インスタンスに最も強力なアクセス スコープ(cloud-platform)を付与したうえで、IAM ロールを使用して特定の API やオペレーションへのアクセスを制限することをおすすめします。詳しくは、サービス アカウント権限 をご覧ください。
