Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שליטה בגישה באמצעות IAM

כדי להשתמש ב-Monitoring, צריכות להיות לכם הרשאות מתאימות בניהול הזהויות והרשאות הגישה (IAM). באופן כללי, לכל method של REST ב-API יש הרשאה משויכת. כדי להשתמש בשיטה או בתכונה במסוף שמסתמכת על השיטה, צריכה להיות לכם הרשאה להשתמש בשיטה המתאימה. ההרשאות לא ניתנות ישירות למשתמשים, אלא באופן עקיף דרך תפקידים. התפקידים מקבצים כמה הרשאות כדי להקל על הניהול שלהן:

מידע על בקרת גישה זמין במאמר מושגים שקשורים לניהול הרשאות הגישה.

במאמר הענקת גישה ל-Cloud Monitoring מוסבר איך נותנים תפקידים לחשבונות משתמשים.

תפקידים לשילובים נפוצים של הרשאות מוגדרים מראש. עם זאת, אפשר גם ליצור שילובים משלכם של הרשאות על ידי יצירת תפקידים בהתאמה אישית ב-IAM.

שיטה מומלצת

מומלץ ליצור קבוצות Google כדי לנהל את הגישה לGoogle Cloud פרויקטים:

מידע נוסף מופיע במאמר בנושא ניהול קבוצות במסוף Google Cloud .
מידע על הגדרת מגבלות על תפקידים זמין במאמר הגדרת מגבלות על הקצאת תפקידים.
רשימה מלאה של תפקידים והרשאות ב-IAM מופיעה במאמר מסמך עזר בנושא תפקידים בסיסיים ומוגדרים מראש ב-IAM.

VPC Service Controls

כדי לשלוט בגישה לנתוני המעקב בצורה טובה יותר, אפשר להשתמש ב-VPC Service Controls בנוסף ל-IAM.

‫VPC Service Controls מספק אבטחה נוספת ל-Cloud Monitoring כדי לעזור בצמצום הסיכון לזליגת נתונים. בעזרת VPC Service Controls אפשר להוסיף היקף מדדים ל-Service Perimeter שמגן על המשאבים והשירותים של Cloud Monitoring מפני בקשות שמקורן מחוץ לגבולות הגזרה.

מידע נוסף על גבולות גזרה לשירות זמין במאמר הגדרת גבולות גזרה לשירות ב-VPC Service Controls.

מידע על התמיכה של Monitoring ב-VPC Service Controls, כולל מגבלות ידועות, זמין במסמכי התיעוד של Monitoring VPC Service Controls.

הענקת גישה ל-Cloud Monitoring

כדי לנהל תפקידים ב-IAM עבור חשבונות משתמשים, אפשר להשתמש בדף 'ניהול זהויות והרשאות גישה' במסוף Google Cloud או ב-Google Cloud CLI. עם זאת, Cloud Monitoring מספק ממשק פשוט יותר שמאפשר לכם לנהל את התפקידים הספציפיים ל-Monitoring, את התפקידים ברמת הפרויקט ואת התפקידים הנפוצים ב-Cloud Logging וב-Cloud Trace.

כדי להעניק לחשבונות משתמש גישה ל-Monitoring, ל-Cloud Logging או ל-Cloud Trace, או כדי להעניק תפקיד ברמת הפרויקט, מבצעים את הפעולות הבאות:

המסוף

נכנסים לדף Permissions במסוף Google Cloud :
עוברים אל הרשאות

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שבה הכותרת המשנית היא Monitoring.

לא כל החשבונות הראשיים מוצגים בדף Principals with access. הרשימה כוללת רק ישויות מורשות שיש להן תפקיד ברמת הפרויקט, או תפקיד שספציפי למעקב, לרישום ביומן או ליומן מעקב.

בדף הזה אפשר לראות את כל החשבונות הראשיים שהתפקידים שלהם כוללים הרשאות ל-Monitoring.
לוחצים על Grant access.
לוחצים על New principals ומזינים את שם המשתמש של ה-principal. אפשר להוסיף כמה חשבונות משתמש.

מרחיבים את Select a role, בוחרים ערך מהתפריט By product or service ואז בוחרים תפקיד מהתפריט Roles:

בחירה לפי מוצר או שירות	בחירת תפקידים	תיאור
מעקב	צפייה בנתוני מעקב	הצגת נתוני מעקב ופרטי הגדרה. לדוגמה, חשבונות משתמשים עם התפקיד הזה יכולים לראות לוחות בקרה בהתאמה אישית ומדיניות התראות.
מעקב	הכלי לעריכת מעקב	לצפות בנתוני המעקב, וגם ליצור ולערוך הגדרות. לדוגמה, גורמים עם התפקיד הזה יכולים ליצור מרכזי בקרה בהתאמה אישית ומדיניות התראות.
מעקב	Monitoring Admin	גישה מלאה ל-Monitoring ב Google Cloud מסוף וב-Cloud Monitoring API. אתם יכולים לראות את נתוני המעקב, ליצור ולערוך הגדרות ולשנות את היקף המדדים.
Cloud Trace	משתמש Cloud Trace	גישה מלאה למסוף Trace, גישת קריאה למעקבים וגישת קריאה וכתיבה למאגרי נתונים. מידע נוסף זמין במאמר בנושא תפקידים ב-Trace.
Cloud Trace	Cloud Trace Admin	גישה מלאה למסוף Trace, גישת קריאה וכתיבה למעקב וגישת קריאה וכתיבה למאגרי נתונים. מידע נוסף זמין במאמר בנושא תפקידים ב-Trace.
רישום ביומן	Logs Viewer	צפייה בגישה ליומנים. מידע נוסף זמין במאמר בנושא תפקידי רישום ביומן.
רישום ביומן	Logging Admin	גישה מלאה לכל התכונות של Cloud Logging. מידע נוסף זמין במאמר בנושא תפקידי רישום ביומן.
פרויקט	צופה	גישת צפייה לרוב Google Cloud המשאבים.
פרויקט	עריכה	צפייה ברוב Google Cloud המשאבים, יצירה, עדכון ומחיקה שלהם.
פרויקט	בעלים	גישה מלאה לרוב Google Cloud המשאבים.

אופציונלי: כדי להקצות עוד תפקיד לאותם חשבונות ראשיים, לוחצים על Add another role וחוזרים על השלב הקודם.
לוחצים על Save.

בשלבים הקודמים מוסבר איך להעניק לחשבון משתמש תפקידים מסוימים באמצעות דפי Monitoring במסוף Google Cloud . לגבי התפקידים האלה, הדף הזה תומך גם באפשרויות עריכה ומחיקה:

כדי להסיר תפקידים מחשבון ראשי, מסמנים את התיבה שליד החשבון הראשי ולוחצים על Remove access.
כדי לערוך את התפקידים של חשבון משתמש, לוחצים על Edit. אחרי שמעדכנים את ההגדרות, לוחצים על שמירה.

gcloud

משתמשים בפקודה gcloud projects add-iam-policy-binding כדי להקצות את התפקיד monitoring.viewer או monitoring.editor.

לדוגמה:

export PROJECT_ID="my-test-project"
export EMAIL_ADDRESS="myuser@gmail.com"
gcloud projects add-iam-policy-binding \
      $PROJECT_ID \
      --member="user:$EMAIL_ADDRESS" \
      --role="roles/monitoring.editor"

אפשר לוודא את התפקידים שהוקצו באמצעות הפקודה gcloud projects get-iam-policy:

export PROJECT_ID="my-test-project"
gcloud projects get-iam-policy $PROJECT_ID

תפקידים מוגדרים מראש

בקטע הזה מפורטים חלק מתפקידי ה-IAM שמוגדרים מראש על ידי Cloud Monitoring.

תפקידי ניטור

התפקידים הבאים מעניקים הרשאות כלליות לניטור:

שם כותרת	כולל הרשאות
`roles/monitoring.viewer` צופה במעקב	ההרשאה מאפשרת גישת קריאה בלבד ל-Monitoring במסוף Google Cloud ול-Cloud Monitoring API. ‫
`roles/monitoring.editor` עורך המעקב	מעניק גישת קריאה וכתיבה ל-Monitoring במסוף Google Cloud וב-Cloud Monitoring API. ‫
`roles/monitoring.admin` אדמין של מעקב	מעניקה גישה מלאה ל-Monitoring במסוף Google Cloud וב-Cloud Monitoring API.

התפקיד הבא משמש חשבונות שירות לגישת כתיבה בלבד:

שם כותרת	תיאור
`roles/monitoring.metricWriter` בעל הרשאת כתיבה של מדדי מעקב	התפקיד הזה מיועד לחשבונות שירות ולסוכנים. לא מאפשר גישה ל-Monitoring במסוף Google Cloud . מאפשר לכתוב נתוני מעקב להיקף המדדים בפרויקט.

תפקידים במדיניות ההתראות

התפקידים הבאים מעניקים הרשאות למדיניות התראות:

שם כותרת	תיאור
`roles/monitoring.alertPolicyViewer` מעקב אחרי מדיניות התראות	ההרשאה הזו מאפשרת גישה לקריאה בלבד של מדיניות ההתראות.
`roles/monitoring.alertPolicyEditor` מעקב אחרי עורך מדיניות ההתראות	התפקיד הזה מעניק גישת קריאה וכתיבה למדיניות התראות.

תפקידים במרכז הבקרה

התפקידים הבאים מעניקים הרשאות רק ללוחות בקרה:

שם כותרת	תיאור
`roles/monitoring.dashboardViewer` כלי להצגת ההגדרות של לוח הבקרה של Monitoring	התפקיד הזה מאפשר גישה לקריאה בלבד של הגדרות מרכז הבקרה.
`roles/monitoring.dashboardEditor` עורך ההגדרות של לוח הבקרה של Monitoring	התפקיד הזה מאפשר גישת קריאה/כתיבה להגדרות של מרכז הבקרה.

תפקידים באירוע

התפקידים הבאים מעניקים הרשאות רק לאירועים:

שם כותרת	תיאור
`roles/monitoring.cloudConsoleIncidentViewer` מעקב אחרי כלי הצגת תקריות ב-Cloud Console	ההרשאה מאפשרת גישה לצפייה באירועים באמצעות Google Cloud המסוף.
`roles/monitoring.cloudConsoleIncidentEditor` כלי העריכה של אירועי מעקב במסוף Cloud	ההרשאה מאפשרת לצפות באירועים, לאשר אותם ולסגור אותם באמצעות מסוף Google Cloud .

במאמר אי אפשר לראות את פרטי התקרית בגלל שגיאת הרשאה מוסבר איך לפתור שגיאות הרשאה ב-IAM כשמנסים לראות תקריות.

תפקידים בערוץ ההתראות

התפקידים הבאים מעניקים הרשאות רק לערוצי התראות:

שם כותרת	תיאור
`roles/monitoring.notificationChannelViewer` כלי לצפייה בערוצי התראות של Monitoring	התפקיד הזה מאפשר גישה לקריאה בלבד של ערוצי התראות.
`roles/monitoring.notificationChannelEditor` כלי העריכה של NotificationChannel ב-Monitoring	התפקיד הזה מעניק גישת קריאה וכתיבה לערוצי התראות.

השהיית התראות על הקצאת תפקידים

התפקידים הבאים מעניקים הרשאות להשהיית התראות:

שם כותרת	תיאור
`roles/monitoring.snoozeViewer` הצגת התראות מושהות	ההרשאה מאפשרת גישה לקריאה בלבד של תזכורות.
`roles/monitoring.snoozeEditor` עורך השהיית המעקב	התפקיד הזה מאפשר גישת קריאה וכתיבה להשהיות.

תפקידים לניטור שירותים

התפקידים הבאים מעניקים הרשאות לניהול שירותים:

שם כותרת	תיאור
`roles/monitoring.servicesViewer` תצוגה של שירותי ניטור	ההרשאה מעניקה גישת קריאה בלבד לשירותים.
`roles/monitoring.servicesEditor` הכלי לעריכת שירותי ניטור	מעניק גישת קריאה וכתיבה לשירותים.

מידע נוסף על מעקב אחרי שירותים זמין במאמר מעקב אחרי SLO.

תפקידים בהגדרת בדיקת זמינות

התפקידים הבאים מעניקים הרשאות רק להגדרות של בדיקות זמינות:

שם כותרת	תיאור
`roles/monitoring.uptimeCheckConfigViewer` כלי לצפייה בהגדרות של בדיקות זמינות	התפקיד הזה מאפשר גישה לקריאה בלבד של הגדרות בדיקת הזמינות.
`roles/monitoring.uptimeCheckConfigEditor` עורך ההגדרות של בדיקת זמני פעילות של מעקב	התפקיד הזה מאפשר גישת קריאה וכתיבה להגדרות של בדיקת זמינות.

תפקידים בהגדרת היקף המדדים בפרויקט

התפקידים הבאים מעניקים הרשאות כלליות להיקפי מדדים:

שם כותרת	תיאור
`roles/monitoring.metricsScopesViewer` מעקב אחר מדדים בהיקף הצופה	ההרשאה מאפשרת גישה לקריאה בלבד להיקפי מדדים.
`roles/monitoring.metricsScopesAdmin` היקפים של מדדי מעקב – אדמין	התפקיד הזה מעניק גישת קריאה וכתיבה להיקפי מדדים.

הרשאות לתפקידים מוגדרים מראש

בקטע הזה מפורטות ההרשאות שמוקצות לתפקידים מוגדרים מראש שמשויכים ל-Monitoring.

מידע נוסף על תפקידים מוגדרים מראש זמין במאמר IAM: תפקידים והרשאות. לא בטוחים איזה תפקיד מוגדר מראש לתת? תוכלו להיעזר במאמר בחירת תפקידים מוגדרים מראש.

הרשאות לתפקידי ניהול

Role Permissions

Role	Permissions
Monitoring Admin (`roles/monitoring.admin`) Provides full access to Cloud Monitoring. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.createTagBinding` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.deleteTagBinding` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alertPolicies.update` `monitoring.alerts.get` `monitoring.alerts.list` `monitoring.dashboards.create` `monitoring.dashboards.createTagBinding` `monitoring.dashboards.delete` `monitoring.dashboards.deleteTagBinding` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.dashboards.update` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.metricsScopes.link` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.getVerificationCode` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.consumerpolicy.` `serviceusage.consumerpolicy.analyze` `serviceusage.consumerpolicy.get` `serviceusage.consumerpolicy.update` `serviceusage.effectivepolicy.get` `serviceusage.groups.` `serviceusage.groups.list` `serviceusage.groups.listExpandedMembers` `serviceusage.groups.listMembers` `serviceusage.services.enable` `serviceusage.services.get` `serviceusage.values.test` `stackdriver.*` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring Editor (`roles/monitoring.editor`) Provides full access to information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.` `monitoring.alertPolicies.create` `monitoring.alertPolicies.createTagBinding` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.deleteTagBinding` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alertPolicies.update` `monitoring.alerts.` `monitoring.alerts.get` `monitoring.alerts.list` `monitoring.dashboards.` `monitoring.dashboards.create` `monitoring.dashboards.createTagBinding` `monitoring.dashboards.delete` `monitoring.dashboards.deleteTagBinding` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.dashboards.update` `monitoring.groups.` `monitoring.groups.create` `monitoring.groups.delete` `monitoring.groups.get` `monitoring.groups.list` `monitoring.groups.update` `monitoring.metricDescriptors.` `monitoring.metricDescriptors.create` `monitoring.metricDescriptors.delete` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify` `monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update` `monitoring.snoozes.` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update` `monitoring.timeSeries.` `monitoring.timeSeries.create` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update` `opsconfigmonitoring.` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.consumerpolicy.` `serviceusage.consumerpolicy.analyze` `serviceusage.consumerpolicy.get` `serviceusage.consumerpolicy.update` `serviceusage.effectivepolicy.get` `serviceusage.groups.` `serviceusage.groups.list` `serviceusage.groups.listExpandedMembers` `serviceusage.groups.listMembers` `serviceusage.services.enable` `serviceusage.services.get` `serviceusage.values.test` `stackdriver.` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Monitoring Metric Writer (`roles/monitoring.metricWriter`) Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics. Lowest-level resources where you can grant this role: Project	`monitoring.metricDescriptors.create` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.*` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.timeSeries.create`
Monitoring Viewer (`roles/monitoring.viewer`) Provides read-only access to get and list information about all monitoring data and configurations. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alerts.` `monitoring.alerts.get` `monitoring.alerts.list` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.groups.get` `monitoring.groups.list` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.timeSeries.list` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `opsconfigmonitoring.resourceMetadata.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get` `stackdriver.resourceMetadata.list`
Opsconfigmonitoring Admin ^Beta (`roles/opsconfigmonitoring.admin`) Admin role for opsconfigmonitoring	`opsconfigmonitoring.*` `opsconfigmonitoring.resourceMetadata.list` `opsconfigmonitoring.resourceMetadata.write` `resourcemanager.projects.get` `resourcemanager.projects.list`
Opsconfigmonitoring Viewer ^Beta (`roles/opsconfigmonitoring.viewer`) Viewer role for opsconfigmonitoring	`opsconfigmonitoring.resourceMetadata.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Stackdriver Admin (`roles/stackdriver.admin`) Admin role for stackdriver	`resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.*` `stackdriver.projects.edit` `stackdriver.projects.get` `stackdriver.resourceMetadata.list` `stackdriver.resourceMetadata.write`
Stackdriver Resource Metadata Writer ^Beta (`roles/stackdriver.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.	`stackdriver.resourceMetadata.write`
Stackdriver Viewer (`roles/stackdriver.viewer`) Viewer role for stackdriver	`resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get` `stackdriver.resourceMetadata.list`
Monitoring AlertPolicy Editor (`roles/monitoring.alertPolicyEditor`) Read/write access to alerting policies.	`monitoring.alertPolicies.*` `monitoring.alertPolicies.create` `monitoring.alertPolicies.createTagBinding` `monitoring.alertPolicies.delete` `monitoring.alertPolicies.deleteTagBinding` `monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings` `monitoring.alertPolicies.update`
Monitoring AlertPolicy Viewer (`roles/monitoring.alertPolicyViewer`) Read-only access to alerting policies.	`monitoring.alertPolicies.get` `monitoring.alertPolicies.list` `monitoring.alertPolicies.listEffectiveTags` `monitoring.alertPolicies.listTagBindings`
Monitoring Alert Viewer (`roles/monitoring.alertViewer`) Read access to alerts.	`monitoring.alerts.*` `monitoring.alerts.get` `monitoring.alerts.list`
Monitoring Cloud Console Incident Editor ^Beta (`roles/monitoring.cloudConsoleIncidentEditor`) Read/write access to incidents from Cloud Console.	`monitoring.alerts.*` `monitoring.alerts.get` `monitoring.alerts.list`
Monitoring Cloud Console Incident Viewer ^Beta (`roles/monitoring.cloudConsoleIncidentViewer`) Read access to incidents from Cloud Console.	`monitoring.alerts.*` `monitoring.alerts.get` `monitoring.alerts.list`
Monitoring Dashboard Configuration Editor (`roles/monitoring.dashboardEditor`) Read/write access to dashboard configurations.	`monitoring.dashboards.*` `monitoring.dashboards.create` `monitoring.dashboards.createTagBinding` `monitoring.dashboards.delete` `monitoring.dashboards.deleteTagBinding` `monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings` `monitoring.dashboards.update`
Monitoring Dashboard Configuration Viewer (`roles/monitoring.dashboardViewer`) Read-only access to dashboard configurations.	`monitoring.dashboards.get` `monitoring.dashboards.list` `monitoring.dashboards.listEffectiveTags` `monitoring.dashboards.listTagBindings`
Monitoring Metrics Scopes Admin ^Beta (`roles/monitoring.metricsScopesAdmin`) Access to add and remove monitored projects from metrics scopes.	`monitoring.metricsScopes.link` `resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring Metrics Scopes Viewer ^Beta (`roles/monitoring.metricsScopesViewer`) Read-only access to metrics scopes and their monitored projects.	`resourcemanager.projects.get` `resourcemanager.projects.list`
Monitoring NotificationChannel Editor ^Beta (`roles/monitoring.notificationChannelEditor`) Read/write access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.create` `monitoring.notificationChannels.delete` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.sendVerificationCode` `monitoring.notificationChannels.update` `monitoring.notificationChannels.verify`
Monitoring NotificationChannel Viewer ^Beta (`roles/monitoring.notificationChannelViewer`) Read-only access to notification channels.	`monitoring.notificationChannelDescriptors.*` `monitoring.notificationChannelDescriptors.get` `monitoring.notificationChannelDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list`
Monitoring Services Editor (`roles/monitoring.servicesEditor`) Read/write access to services.	`monitoring.services.` `monitoring.services.create` `monitoring.services.delete` `monitoring.services.get` `monitoring.services.list` `monitoring.services.update` `monitoring.slos.` `monitoring.slos.create` `monitoring.slos.delete` `monitoring.slos.get` `monitoring.slos.list` `monitoring.slos.update`
Monitoring Services Viewer (`roles/monitoring.servicesViewer`) Read-only access to services.	`monitoring.services.get` `monitoring.services.list` `monitoring.slos.get` `monitoring.slos.list`
Monitoring Snooze Editor (`roles/monitoring.snoozeEditor`)	`monitoring.snoozes.*` `monitoring.snoozes.create` `monitoring.snoozes.get` `monitoring.snoozes.list` `monitoring.snoozes.update`
Monitoring Snooze Viewer (`roles/monitoring.snoozeViewer`)	`monitoring.snoozes.get` `monitoring.snoozes.list`
Monitoring Uptime Check Configuration Editor ^Beta (`roles/monitoring.uptimeCheckConfigEditor`) Read/write access to uptime check configurations.	`monitoring.uptimeCheckConfigs.*` `monitoring.uptimeCheckConfigs.create` `monitoring.uptimeCheckConfigs.delete` `monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list` `monitoring.uptimeCheckConfigs.update`
Monitoring Uptime Check Configuration Viewer ^Beta (`roles/monitoring.uptimeCheckConfigViewer`) Read-only access to uptime check configurations.	`monitoring.uptimeCheckConfigs.get` `monitoring.uptimeCheckConfigs.list`
Ops Config Monitoring Resource Metadata Viewer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.viewer`) Read-only access to resource metadata.	`opsconfigmonitoring.resourceMetadata.list`
Ops Config Monitoring Resource Metadata Writer ^Beta (`roles/opsconfigmonitoring.resourceMetadata.writer`) Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.	`opsconfigmonitoring.resourceMetadata.write`
Stackdriver Accounts Editor (`roles/stackdriver.accounts.editor`) Read/write access to manage Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.consumerpolicy.` `serviceusage.consumerpolicy.analyze` `serviceusage.consumerpolicy.get` `serviceusage.consumerpolicy.update` `serviceusage.effectivepolicy.get` `serviceusage.groups.` `serviceusage.groups.list` `serviceusage.groups.listExpandedMembers` `serviceusage.groups.listMembers` `serviceusage.services.enable` `serviceusage.services.get` `serviceusage.values.test` `stackdriver.projects.*` `stackdriver.projects.edit` `stackdriver.projects.get`
Stackdriver Accounts Viewer (`roles/stackdriver.accounts.viewer`) Read-only access to get and list information about Stackdriver account structure.	`resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get`

Monitoring Admin

(roles/monitoring.admin)

Provides full access to Cloud Monitoring.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.*

monitoring.alertPolicies.create
monitoring.alertPolicies.createTagBinding
monitoring.alertPolicies.delete
monitoring.alertPolicies.deleteTagBinding
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alertPolicies.update
monitoring.alerts.get
monitoring.alerts.list
monitoring.dashboards.create
monitoring.dashboards.createTagBinding
monitoring.dashboards.delete
monitoring.dashboards.deleteTagBinding
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.dashboards.update
monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update
monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.metricsScopes.link
monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.getVerificationCode
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update
monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update
monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update
monitoring.timeSeries.create
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.*

serviceusage.consumerpolicy.analyze
serviceusage.consumerpolicy.get
serviceusage.consumerpolicy.update

serviceusage.effectivepolicy.get

serviceusage.groups.*

serviceusage.groups.list
serviceusage.groups.listExpandedMembers
serviceusage.groups.listMembers

serviceusage.services.enable

serviceusage.services.get

serviceusage.values.test

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring Editor

(roles/monitoring.editor)

Provides full access to information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.createTagBinding
monitoring.alertPolicies.delete
monitoring.alertPolicies.deleteTagBinding
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alertPolicies.update

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.createTagBinding
monitoring.dashboards.delete
monitoring.dashboards.deleteTagBinding
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.dashboards.update

monitoring.groups.*

monitoring.groups.create
monitoring.groups.delete
monitoring.groups.get
monitoring.groups.list
monitoring.groups.update

monitoring.metricDescriptors.*

monitoring.metricDescriptors.create
monitoring.metricDescriptors.delete
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

monitoring.timeSeries.*

monitoring.timeSeries.create
monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.*

serviceusage.consumerpolicy.analyze
serviceusage.consumerpolicy.get
serviceusage.consumerpolicy.update

serviceusage.effectivepolicy.get

serviceusage.groups.*

serviceusage.groups.list
serviceusage.groups.listExpandedMembers
serviceusage.groups.listMembers

serviceusage.services.enable

serviceusage.services.get

serviceusage.values.test

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Monitoring Metric Writer

(roles/monitoring.metricWriter)

Provides write-only access to metrics. This provides exactly the permissions needed by the Cloud Monitoring agent and other systems that send metrics.

Lowest-level resources where you can grant this role:

Project

monitoring.metricDescriptors.create

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.create

Monitoring Viewer

(roles/monitoring.viewer)

Provides read-only access to get and list information about all monitoring data and configurations.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

monitoring.groups.get

monitoring.groups.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

monitoring.snoozes.get

monitoring.snoozes.list

monitoring.timeSeries.list

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Opsconfigmonitoring Admin ^Beta

(roles/opsconfigmonitoring.admin)

Admin role for opsconfigmonitoring

opsconfigmonitoring.*

opsconfigmonitoring.resourceMetadata.list
opsconfigmonitoring.resourceMetadata.write

resourcemanager.projects.get

resourcemanager.projects.list

Opsconfigmonitoring Viewer ^Beta

(roles/opsconfigmonitoring.viewer)

Viewer role for opsconfigmonitoring

opsconfigmonitoring.resourceMetadata.list

resourcemanager.projects.get

resourcemanager.projects.list

Stackdriver Admin

(roles/stackdriver.admin)

Admin role for stackdriver

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.*

stackdriver.projects.edit
stackdriver.projects.get
stackdriver.resourceMetadata.list
stackdriver.resourceMetadata.write

Stackdriver Resource Metadata Writer ^Beta

(roles/stackdriver.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Stackdriver metadata agent and other systems that send metadata.

stackdriver.resourceMetadata.write

Stackdriver Viewer

(roles/stackdriver.viewer)

Viewer role for stackdriver

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

stackdriver.resourceMetadata.list

Monitoring AlertPolicy Editor

(roles/monitoring.alertPolicyEditor)

Read/write access to alerting policies.

monitoring.alertPolicies.*

monitoring.alertPolicies.create
monitoring.alertPolicies.createTagBinding
monitoring.alertPolicies.delete
monitoring.alertPolicies.deleteTagBinding
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.alertPolicies.listEffectiveTags
monitoring.alertPolicies.listTagBindings
monitoring.alertPolicies.update

Monitoring AlertPolicy Viewer

(roles/monitoring.alertPolicyViewer)

Read-only access to alerting policies.

monitoring.alertPolicies.get

monitoring.alertPolicies.list

monitoring.alertPolicies.listEffectiveTags

monitoring.alertPolicies.listTagBindings

Monitoring Alert Viewer

(roles/monitoring.alertViewer)

Read access to alerts.

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

Monitoring Cloud Console Incident Editor ^Beta

(roles/monitoring.cloudConsoleIncidentEditor)

Read/write access to incidents from Cloud Console.

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

Monitoring Cloud Console Incident Viewer ^Beta

(roles/monitoring.cloudConsoleIncidentViewer)

Read access to incidents from Cloud Console.

monitoring.alerts.*

monitoring.alerts.get
monitoring.alerts.list

Monitoring Dashboard Configuration Editor

(roles/monitoring.dashboardEditor)

Read/write access to dashboard configurations.

monitoring.dashboards.*

monitoring.dashboards.create
monitoring.dashboards.createTagBinding
monitoring.dashboards.delete
monitoring.dashboards.deleteTagBinding
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.dashboards.listEffectiveTags
monitoring.dashboards.listTagBindings
monitoring.dashboards.update

Monitoring Dashboard Configuration Viewer

(roles/monitoring.dashboardViewer)

Read-only access to dashboard configurations.

monitoring.dashboards.get

monitoring.dashboards.list

monitoring.dashboards.listEffectiveTags

monitoring.dashboards.listTagBindings

Monitoring Metrics Scopes Admin ^Beta

(roles/monitoring.metricsScopesAdmin)

Access to add and remove monitored projects from metrics scopes.

monitoring.metricsScopes.link

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring Metrics Scopes Viewer ^Beta

(roles/monitoring.metricsScopesViewer)

Read-only access to metrics scopes and their monitored projects.

resourcemanager.projects.get

resourcemanager.projects.list

Monitoring NotificationChannel Editor ^Beta

(roles/monitoring.notificationChannelEditor)

Read/write access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.create

monitoring.notificationChannels.delete

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.sendVerificationCode

monitoring.notificationChannels.update

monitoring.notificationChannels.verify

Monitoring NotificationChannel Viewer ^Beta

(roles/monitoring.notificationChannelViewer)

Read-only access to notification channels.

monitoring.notificationChannelDescriptors.*

monitoring.notificationChannelDescriptors.get
monitoring.notificationChannelDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

Monitoring Services Editor

(roles/monitoring.servicesEditor)

Read/write access to services.

monitoring.services.*

monitoring.services.create
monitoring.services.delete
monitoring.services.get
monitoring.services.list
monitoring.services.update

monitoring.slos.*

monitoring.slos.create
monitoring.slos.delete
monitoring.slos.get
monitoring.slos.list
monitoring.slos.update

Monitoring Services Viewer

(roles/monitoring.servicesViewer)

Read-only access to services.

monitoring.services.get

monitoring.services.list

monitoring.slos.get

monitoring.slos.list

Monitoring Snooze Editor

(roles/monitoring.snoozeEditor)

monitoring.snoozes.*

monitoring.snoozes.create
monitoring.snoozes.get
monitoring.snoozes.list
monitoring.snoozes.update

Monitoring Snooze Viewer

(roles/monitoring.snoozeViewer)

monitoring.snoozes.get

monitoring.snoozes.list

Monitoring Uptime Check Configuration Editor ^Beta

(roles/monitoring.uptimeCheckConfigEditor)

Read/write access to uptime check configurations.

monitoring.uptimeCheckConfigs.*

monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.delete
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.update

Monitoring Uptime Check Configuration Viewer ^Beta

(roles/monitoring.uptimeCheckConfigViewer)

Read-only access to uptime check configurations.

monitoring.uptimeCheckConfigs.get

monitoring.uptimeCheckConfigs.list

Ops Config Monitoring Resource Metadata Viewer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.viewer)

Read-only access to resource metadata.

opsconfigmonitoring.resourceMetadata.list

Ops Config Monitoring Resource Metadata Writer ^Beta

(roles/opsconfigmonitoring.resourceMetadata.writer)

Write-only access to resource metadata. This provides exactly the permissions needed by the Ops Config Monitoring metadata agent and other systems that send metadata.

opsconfigmonitoring.resourceMetadata.write

Stackdriver Accounts Editor

(roles/stackdriver.accounts.editor)

Read/write access to manage Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.*

serviceusage.consumerpolicy.analyze
serviceusage.consumerpolicy.get
serviceusage.consumerpolicy.update

serviceusage.effectivepolicy.get

serviceusage.groups.*

serviceusage.groups.list
serviceusage.groups.listExpandedMembers
serviceusage.groups.listMembers

serviceusage.services.enable

serviceusage.services.get

serviceusage.values.test

stackdriver.projects.*

stackdriver.projects.edit
stackdriver.projects.get

Stackdriver Accounts Viewer

(roles/stackdriver.accounts.viewer)

Read-only access to get and list information about Stackdriver account structure.

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

Service agent roles

Service agent roles should only be granted to service agents.

Role Permissions

Role	Permissions
Monitoring Service Agent (`roles/monitoring.notificationServiceAgent`) Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project. Warning: Do not grant service agent roles to any principals except service agents.	`bigquery.jobs.create` `cloudfunctions.functions.get` `cloudtrace.traces.patch` `logging.links.list` `monitoring.metricDescriptors.get` `monitoring.metricDescriptors.list` `monitoring.monitoredResourceDescriptors.*` `monitoring.monitoredResourceDescriptors.get` `monitoring.monitoredResourceDescriptors.list` `monitoring.notificationChannels.get` `monitoring.notificationChannels.list` `monitoring.notificationChannels.update` `monitoring.timeSeries.list` `observability.links.list` `run.routes.invoke` `servicedirectory.networks.access` `servicedirectory.services.resolve` `serviceusage.services.use`

Monitoring Service Agent

(roles/monitoring.notificationServiceAgent)

Grants permissions to deliver notifications directly to resources within the target project, such as delivering to Pub/Sub topics within the project.

bigquery.jobs.create

cloudfunctions.functions.get

cloudtrace.traces.patch

logging.links.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

monitoring.monitoredResourceDescriptors.get
monitoring.monitoredResourceDescriptors.list

monitoring.notificationChannels.get

monitoring.notificationChannels.list

monitoring.notificationChannels.update

monitoring.timeSeries.list

observability.links.list

run.routes.invoke

servicedirectory.networks.access

servicedirectory.services.resolve

serviceusage.services.use

הרשאות מעקב שכלולות בתפקידים Google Cloud בסיסיים

Google Cloud תפקידים בסיסיים כוללים את ההרשאות הבאות:

שם
כותרת כולל הרשאות

roles/viewer
צופה ההרשאות לניטור זהות לאלה שמוגדרות ב-roles/monitoring.viewer.

שם כותרת	כולל הרשאות
`roles/viewer` צופה	ההרשאות לניטור זהות לאלה שמוגדרות ב-`roles/monitoring.viewer`.
`roles/editor` עריכה	ההרשאות של 'מעקב' זהות לאלה שמופיעות בטבלה `roles/monitoring.editor`, למעט ההרשאה `stackdriver.projects.edit`. התפקיד `roles/editor` לא כולל את ההרשאה `stackdriver.projects.edit`. התפקיד הזה לא מעניק הרשאה לשנות היקף המדדים בפרויקט. כדי לשנות את היקף המדדים בפרויקט כשמשתמשים ב-API, התפקיד שלכם צריך לכלול את ההרשאה `monitoring.metricsScopes.link`. כדי לשנות את היקף המדדים בפרויקט כשמשתמשים במסוף Google Cloud , התפקיד שלכם צריך לכלול את ההרשאה `monitoring.metricsScopes.link` או שצריך להיות לכם התפקיד `roles/monitoring.editor`.
`roles/owner` בעלים	ההרשאות של המעקב זהות לאלה שמופיעות ב-`roles/monitoring.admin`.

roles/editor
עריכה

ההרשאות של 'מעקב' זהות לאלה שמופיעות בטבלה roles/monitoring.editor, למעט ההרשאה stackdriver.projects.edit. התפקיד roles/editor לא כולל את ההרשאה stackdriver.projects.edit.

התפקיד הזה לא מעניק הרשאה לשנות היקף המדדים בפרויקט. כדי לשנות את היקף המדדים בפרויקט כשמשתמשים ב-API, התפקיד שלכם צריך לכלול את ההרשאה monitoring.metricsScopes.link. כדי לשנות את היקף המדדים בפרויקט כשמשתמשים במסוף Google Cloud , התפקיד שלכם צריך לכלול את ההרשאה monitoring.metricsScopes.link או שצריך להיות לכם התפקיד roles/monitoring.editor.

roles/owner
בעלים ההרשאות של המעקב זהות לאלה שמופיעות ב-roles/monitoring.admin.

תפקידים בהתאמה אישית

יכול להיות שתרצו ליצור תפקיד בהתאמה אישית אם אתם רוצים להעניק לחשבון משתמש קבוצה מוגבלת יותר של הרשאות מאלה שמוענקות עם תפקידים מוגדרים מראש. לדוגמה, אם הגדרתם את Assured Workloads כי יש לכם דרישות לגבי מיקום הנתונים או רמת ההשפעה 4 (IL4), אל תשתמשו בבדיקות זמני פעילות כי אין ערובה לכך שנתוני בדיקות זמני הפעילות יישמרו במיקום גיאוגרפי ספציפי. כדי למנוע שימוש בבדיקות זמני פעילות, צריך ליצור תפקיד שלא כולל הרשאות עם הקידומת monitoring.uptimeCheckConfigs.

כדי ליצור תפקיד בהתאמה אישית עם הרשאות ל-Monitoring:

כדי להעניק הרשאות רק ל-Monitoring API, בוחרים מתוך ההרשאות בקטע הרשאות ותפקידים מוגדרים מראש.
כדי להעניק הרשאות לתפקיד לצורך שימוש ב'מעקב' במסוףGoogle Cloud , בוחרים מתוך קבוצות ההרשאות בקטע תפקידים ב'מעקב'.
כדי לתת הרשאה לכתיבת נתוני מעקב, צריך לכלול את ההרשאות מהתפקיד roles/monitoring.metricWriter בקטע הרשאות ותפקידים מוגדרים מראש.

הערה: חלק מההרשאות, כולל ההרשאות שנדרשות כדי להציג ולנהל אירועים, לא נתמכות בתפקידים בהתאמה אישית. בלי ההרשאות האלה, יכול להיות שהמעקב במסוףGoogle Cloud לא יפעל כמו שצריך.

אם מעתיקים תפקיד ב-Monitoring כדי ליצור תפקיד בהתאמה אישית, ההרשאות הבאות לא נכללות:

stackdriver.projects.get
stackdriver.projects.edit

התפקיד Stackdriver Accounts Viewer (roles/stackdriver.accounts.viewer) כולל את ההרשאה stackdriver.projects.get. התפקיד Stackdriver Accounts Editor (עריכת חשבונות Stackdriver) ‏(roles/stackdriver.accounts.editor) כולל את ההרשאה stackdriver.projects.edit.

מידע נוסף על תפקידים בהתאמה אישית זמין במאמר הסבר על תפקידים בהתאמה אישית ב-IAM.

היקפי גישה ב-Compute Engine

היקפי גישה הם השיטה הקודמת להגדרת הרשאות למכונות וירטואליות ב-Compute Engine. היקפי הגישה הבאים חלים על ניטור:

היקף גישה	הרשאות שהוענקו
https://www.googleapis.com/auth/monitoring.read	אותן הרשאות כמו ב-`roles/monitoring.viewer`.
https://www.googleapis.com/auth/monitoring.write	אותן הרשאות כמו ב-`roles/monitoring.metricWriter`.
https://www.googleapis.com/auth/monitoring	גישה מלאה ל-Monitoring.
https://www.googleapis.com/auth/cloud-platform	גישה מלאה לכל ממשקי Cloud API המופעלים.

פרטים נוספים זמינים במאמר בנושא היקפי גישה.

שיטה מומלצת. מומלץ להגדיר למכונות הווירטואליות את היקף הגישה הכי רחב (cloud-platform) ואז להשתמש בתפקידי IAM כדי להגביל את הגישה לממשקי API ולפעולות ספציפיות. פרטים נוספים מופיעים במאמר הרשאות לחשבון שירות.

שליטה בגישה באמצעות IAM קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

שיטה מומלצת

VPC Service Controls

הענקת גישה ל-Cloud Monitoring

המסוף

gcloud

תפקידים מוגדרים מראש

תפקידי ניטור

תפקידים במדיניות ההתראות

תפקידים במרכז הבקרה

תפקידים באירוע

תפקידים בערוץ ההתראות

השהיית התראות על הקצאת תפקידים

תפקידים לניטור שירותים

תפקידים בהגדרת בדיקת זמינות

תפקידים בהגדרת היקף המדדים בפרויקט

הרשאות לתפקידים מוגדרים מראש

הרשאות לתפקידי ניהול

Monitoring Admin

Monitoring Editor

Monitoring Metric Writer

Monitoring Viewer

Opsconfigmonitoring Admin Beta

Opsconfigmonitoring Viewer Beta

Stackdriver Admin

Stackdriver Resource Metadata Writer Beta

Stackdriver Viewer

Monitoring AlertPolicy Editor

Monitoring AlertPolicy Viewer

Monitoring Alert Viewer

Monitoring Cloud Console Incident Editor Beta

Monitoring Cloud Console Incident Viewer Beta

Monitoring Dashboard Configuration Editor

Monitoring Dashboard Configuration Viewer

Monitoring Metrics Scopes Admin Beta

Monitoring Metrics Scopes Viewer Beta

Monitoring NotificationChannel Editor Beta

Monitoring NotificationChannel Viewer Beta

Monitoring Services Editor

Monitoring Services Viewer

Monitoring Snooze Editor

Monitoring Snooze Viewer

Monitoring Uptime Check Configuration Editor Beta

Monitoring Uptime Check Configuration Viewer Beta

Ops Config Monitoring Resource Metadata Viewer Beta

Ops Config Monitoring Resource Metadata Writer Beta

Stackdriver Accounts Editor

Stackdriver Accounts Viewer

Service agent roles

Monitoring Service Agent

הרשאות מעקב שכלולות בתפקידים Google Cloud בסיסיים

תפקידים בהתאמה אישית

היקפי גישה ב-Compute Engine

שליטה בגישה באמצעות IAM

Opsconfigmonitoring Admin ^Beta

Opsconfigmonitoring Viewer ^Beta

Stackdriver Resource Metadata Writer ^Beta

Monitoring Cloud Console Incident Editor ^Beta

Monitoring Cloud Console Incident Viewer ^Beta

Monitoring Metrics Scopes Admin ^Beta

Monitoring Metrics Scopes Viewer ^Beta

Monitoring NotificationChannel Editor ^Beta

Monitoring NotificationChannel Viewer ^Beta

Monitoring Uptime Check Configuration Editor ^Beta

Monitoring Uptime Check Configuration Viewer ^Beta

Ops Config Monitoring Resource Metadata Viewer ^Beta

Ops Config Monitoring Resource Metadata Writer ^Beta