Stackdriver 控制台日志视图的 iam 角色权限

Question

我需要为一组用户设置 stackdriver 控制台查看权限。 目前我已经分配给他们

roles/logging.viewer

角色。 但是他们无法访问 gcp 控制台来查看 stackdriver 日志。 现在我给了他们project viewer角色来访问 gcp 控制台中的日志。 这可以通过其他方式完成吗？

Answer 1

根据文档和上面@pradeep 提到的，如果将标题为“Logs Viewer”的角色授予用户，则该用户确实被授予在 GCP 日志记录控制台视图中查看 Stackdriver 日志的权限。 您可以根据文档验证这一点，以便在 GCP 控制台中查看（最小只读访问权限）Stackdriver 日志，需要以下权限：

• 日志记录.logEntries.list

• 日志记录.logs.list

• 日志记录.logServiceIndexes.list

• logging.logServices.list

• 资源管理器.projects.get

, 包含在上述角色中。

我通过访问我的 GCP 控制台中的“IAM 和管理”部分重现了您的案例。 我添加了一个 gmail 帐户的新成员。 在下图中，您可以看到添加新成员时可用的选项：

在选择一个角色时，我在“Type to filter”搜索字段中输入了“log”并添加了角色“Logs Viewer”，如下所示：

具有我刚刚添加的相应电子邮件的用户能够通过选择相应的项目在控制台中查看日志。

此外， Google 网上论坛是将访问策略应用于一组用户的便捷方式。 不过，我的示例是检查一个拥有 gmail 帐户的用户。

一些您可能会觉得有用的附加信息：

在我的调查过程中，我发现具有“日志查看者”角色的用户将无法使用“gcloud logging logs list”命令查看日志，相反他们会收到一条错误消息，表明该角色缺少权限。 运行“gcloud logging logs list”命令所需的权限是“serviceusage.services.usage”权限，由“Editor”和项目“Owner”角色以及其他角色使用。 我知道这不是你的问题，但我也提到了这一点，以防你遇到它。

有一个关于此事的公共问题跟踪器，默认在角色 roles/logging.viewer 中包含权限“serviceusage.services.use”，这样您以后就不必手动执行了。 现在您需要手动添加权限。

由于我不确定为什么您的用户无法在控制台中查看日志，既然我已成功复制，请附上问题的屏幕截图并进一步详细说明您的问题描述？

（例如：

• 描述您如何授予角色/logging.viewer 的步骤

• 您的解决方法（授予项目查看器）是否允许用户通过控制台查看日志？

• 当角色/logging.viewer 被授予时，用户或您在尝试查看日志时会收到错误消息吗？ )

Answer 2

如果您授予用户roles/logging.viewer权限，那么他们只能查看 StackDriver 服务，他们无法访问其他服务，例如 Storage。

仅提供roles/logging.viewer时会出现什么错误？ 你也可以附上截图吗？