Stackdriver 控制台日志視圖的 iam 角色權限

Question

我需要為一組用戶設置 stackdriver 控制台查看權限。 目前我已經分配給他們

roles/logging.viewer

角色。 但是他們無法訪問 gcp 控制台來查看 stackdriver 日志。 現在我給了他們project viewer角色來訪問 gcp 控制台中的日志。 這可以通過其他方式完成嗎？

Answer 1

根據文檔和上面@pradeep 提到的，如果將標題為“Logs Viewer”的角色授予用戶，則該用戶確實被授予在 GCP 日志記錄控制台視圖中查看 Stackdriver 日志的權限。 您可以根據文檔驗證這一點，以便在 GCP 控制台中查看（最小只讀訪問權限）Stackdriver 日志，需要以下權限：

• 日志記錄.logEntries.list

• 日志記錄.logs.list

• 日志記錄.logServiceIndexes.list

• logging.logServices.list

• 資源管理器.projects.get

, 包含在上述角色中。

我通過訪問我的 GCP 控制台中的“IAM 和管理”部分重現了您的案例。 我添加了一個 gmail 帳戶的新成員。 在下圖中，您可以看到添加新成員時可用的選項：

在選擇一個角色時，我在“Type to filter”搜索字段中輸入了“log”並添加了角色“Logs Viewer”，如下所示：

具有我剛剛添加的相應電子郵件的用戶能夠通過選擇相應的項目在控制台中查看日志。

此外， Google 網上論壇是將訪問策略應用於一組用戶的便捷方式。 不過，我的示例是檢查一個擁有 gmail 帳戶的用戶。

一些您可能會覺得有用的附加信息：

在我的調查過程中，我發現具有“日志查看者”角色的用戶將無法使用“gcloud logging logs list”命令查看日志，相反他們會收到一條錯誤消息，表明該角色缺少權限。 運行“gcloud logging logs list”命令所需的權限是“serviceusage.services.usage”權限，由“Editor”和項目“Owner”角色以及其他角色使用。 我知道這不是你的問題，但我也提到了這一點，以防你遇到它。

有一個關於此事的公共問題跟蹤器，默認在角色 roles/logging.viewer 中包含權限“serviceusage.services.use”，這樣您以后就不必手動執行了。 現在您需要手動添加權限。

由於我不確定為什么您的用戶無法在控制台中查看日志，既然我已成功復制，請附上問題的屏幕截圖並進一步詳細說明您的問題描述？

（例如：

• 描述您如何授予角色/logging.viewer 的步驟

• 您的解決方法（授予項目查看器）是否允許用戶通過控制台查看日志？

• 當角色/logging.viewer 被授予時，用戶或您在嘗試查看日志時會收到錯誤消息嗎？ )

Answer 2

如果您授予用戶roles/logging.viewer權限，那么他們只能查看 StackDriver 服務，他們無法訪問其他服務，例如 Storage。

僅提供roles/logging.viewer時會出現什么錯誤？ 你也可以附上截圖嗎？