#logging #google-cloud-platform #access-control
#ведение журнала #google-облачная платформа #управление доступом
Вопрос:
Моя команда разработчиков использует обозреватель журналов в GCP для мониторинга и устранения неполадок в наших экземплярах облачного запуска. Мы хотели бы, чтобы некоторые пользователи из службы поддержки также могли видеть эти журналы. Как мы можем предоставить кому-либо доступ только к log Explorer и никакой другой части GCP?
Я думаю, что в целом идея состоит в том, чтобы создать роль с ограниченным доступом (т. Е. Только Для чтения журналов log Explorer) и назначить ее новым членам команды. Я не знаю точных шагов, необходимых для этого. Я также не уверен, есть ли у GCP уже более прямой или лучший способ решить эту проблему.
Ответ №1:
См roles/logging.Viewer
. Раздел Ведение журнала: управление доступом с помощью IAM.
Я думаю (!?), Что это минимальная предопределенная роль (вы могли бы пойти ниже с пользовательской ролью, но это может оказаться ненужным и добавить сложности).
ОБРАТИТЕ внимание, что при необходимости это включает, например, возможность получать / перечислять проекты
resourcemanager.projects.[get|list]
, потому что это является предварительным условием для перечисления журналов проекта.
Страница содержит инструкции по предоставлению ролей.
Я призываю вас доказать самим себе, что вышеуказанное работает так, как вы ожидаете (например, создайте другой тип ресурса проекта и подтвердите, что ваши средства просмотра журналов не могут получить к нему доступ).