Как предоставить доступ только к обозревателю журналов

#logging #google-cloud-platform #access-control

#ведение журнала #google-облачная платформа #управление доступом

Вопрос:

Моя команда разработчиков использует обозреватель журналов в GCP для мониторинга и устранения неполадок в наших экземплярах облачного запуска. Мы хотели бы, чтобы некоторые пользователи из службы поддержки также могли видеть эти журналы. Как мы можем предоставить кому-либо доступ только к log Explorer и никакой другой части GCP?

Я думаю, что в целом идея состоит в том, чтобы создать роль с ограниченным доступом (т. Е. Только Для чтения журналов log Explorer) и назначить ее новым членам команды. Я не знаю точных шагов, необходимых для этого. Я также не уверен, есть ли у GCP уже более прямой или лучший способ решить эту проблему.

Ответ №1:

См roles/logging.Viewer . Раздел Ведение журнала: управление доступом с помощью IAM.

Я думаю (!?), Что это минимальная предопределенная роль (вы могли бы пойти ниже с пользовательской ролью, но это может оказаться ненужным и добавить сложности).

ОБРАТИТЕ внимание, что при необходимости это включает, например, возможность получать / перечислять проекты resourcemanager.projects.[get|list] , потому что это является предварительным условием для перечисления журналов проекта.

Страница содержит инструкции по предоставлению ролей.

Я призываю вас доказать самим себе, что вышеуказанное работает так, как вы ожидаете (например, создайте другой тип ресурса проекта и подтвердите, что ваши средства просмотра журналов не могут получить к нему доступ).