如何仅提供对日志浏览器的访问权限
Posted
技术标签:
【中文标题】如何仅提供对日志浏览器的访问权限【英文标题】:How to provide access to log explorer only 【发布时间】:2022-01-13 15:25:32 【问题描述】:我的开发团队依靠 GCP 中的日志浏览器来监控我们的云运行实例并对其进行故障排除。我们希望一些担任支持角色的人也能够看到这些日志。我们如何才能让某人只访问日志浏览器,而不能访问 GCP 的其他部分?
我认为总的来说,这个想法是创建一个具有受限访问权限的角色(即仅读取日志浏览器日志)并将其分配给新的团队成员。我不知道这需要的确切步骤。我也不确定 GCP 是否已经有更直接或更好的方法来解决这个问题。
【问题讨论】:
【参考方案1】:在Logging: Access Control with IAM 上查看roles/logging.Viewer。
我认为(!?)它是最小的预定义角色(您可以使用自定义角色降低,但这可能是不必要的,并且会增加复杂性)。
注意必要时它包括例如获取/列出项目
resourcemanager.projects.[get|list]的能力,因为这是能够枚举项目日志的先决条件。
该页面包含Granting roles 上的说明。
我鼓励您向自己证明上述内容按您的预期工作(例如,创建另一种类型的项目资源并确认您的日志查看器无法访问它)。
【讨论】:
以上是关于如何仅提供对日志浏览器的访问权限的主要内容,如果未能解决你的问题,请参考以下文章
如何为 gcp 中的组提供权限(创建/查看)并启用相同的日志记录
如何授予 Amazon Redshift 用户读取系统表、视图、日志等的访问权限?