【发布时间】:2019-09-15 00:58:18
【问题描述】:
我需要允许开发人员访问我们在 Stackdriver 中的生产日志,但我想限制他们导出/下载数据的能力。查看文档后,任何对项目具有查看权限的人都可以从控制台日志查看器下载批量日志。对吗?
【问题讨论】:
标签: logging permissions stackdriver viewer google-iam
【发布时间】:2019-09-15 00:58:18
【问题描述】:
没错。授予项目或日志级别的 viewer 角色将使您的开发人员能够读取和下载日志,但无法为其创建导出接收器。虽然下载限制最多只有 300 个日志条目,但超出此限制,在使用 下载日志 时需要按照提示导出:
最多可下载 300 个当前加载到日志查看器中的日志条目。如果您需要下载更多日志,请考虑导出您的日志。
到目前为止,没有专门用于下载日志的精细角色,通过控制台将其与列出的日志条目分组。您可以查看有关自定义角色 [1] 和其他日志记录角色 [2] 的参考:
为了实施限制,您仍然可以:
创建一个单独的项目,其中包含非敏感日志条目(例如底层环境),它们的日志查看角色可以不受限制。
将查看者角色分配给制作的单个人(例如首席开发人员)。
[1]https://cloud.google.com/iam/docs/understanding-custom-roles#basic_concepts
[2]https://cloud.google.com/iam/docs/understanding-roles#logging-roles
【讨论】: