【问题标题】:How to provide access to log explorer only如何仅提供对日志浏览器的访问权限
【发布时间】:2022-01-13 15:25:32
【问题描述】:
我的开发团队依靠 GCP 中的日志浏览器来监控我们的云运行实例并对其进行故障排除。我们希望一些担任支持角色的人也能够看到这些日志。我们如何才能让某人只访问日志浏览器,而不能访问 GCP 的其他部分?
我认为总的来说,这个想法是创建一个具有受限访问权限的角色(即仅读取日志浏览器日志)并将其分配给新的团队成员。我不知道这需要的确切步骤。我也不确定 GCP 是否已经有更直接或更好的方法来解决这个问题。
【问题讨论】:
标签:
logging
google-cloud-platform
access-control
【解决方案1】:
在Logging: Access Control with IAM 上查看roles/logging.Viewer。
我认为(!?)它是最小的预定义角色(您可以使用自定义角色降低,但这可能是不必要的,并且会增加复杂性)。
注意必要时它包括例如获取/列出项目resourcemanager.projects.[get|list] 的能力,因为这是能够枚举项目日志的先决条件。
该页面包含Granting roles 上的说明。
我鼓励您向自己证明上述内容按您的预期工作(例如,创建另一种类型的项目资源并确认您的日志查看器无法访问它)。