stackdriver 控制台日志视图的 iam 角色权限

Question

我需要为一组用户设置 stackdriver 控制台查看权限。 目前我已经分配给他们了

roles/logging.viewer

角色。但是他们无法访问 gcp 控制台来查看 stackdriver 日志。 现在我已经给了他们project viewer 角色来访问 gcp 控制台中的日志。 这可以通过其他方式完成。

Answer 1

根据documentation 和上面@pradeep 所述，如果将标题为“日志查看器”的角色授予用户，则该用户确实被授予在GCP 日志控制台中查看Stackdriver 日志的权限看法。您可以根据文档验证这一点，以便在 GCP 控制台中查看（最低限度的只读访问权限）Stackdriver 日志，需要以下权限：

• logging.logEntries.list

• logging.logs.list

• logging.logServiceIndexes.list

• logging.logServices.list

• resourcemanager.projects.get

，包含在aforementioned role中。

我通过访问我的 GCP 控制台中的“IAM 和管理”部分复制了您的案例。我添加了一个 gmail 帐户的新成员。在下图中，您可能会看到添加新成员时的可用选项：

在选择角色时，我在“Type to filter”搜索字段中输入“log”并添加角色“Logs Viewer”，如下所示：

具有我刚刚添加的相应电子邮件的用户可以通过选择相应的项目在控制台中查看日志。

此外，Google Groups 是一种将访问策略应用于用户集合的便捷方式。不过，我的示例是检查一位拥有 gmail 帐户的用户。

一些您可能会觉得有用的附加信息：

在调查过程中，我发现具有“日志查看者”角色的用户将无法使用 "gcloud logging logs list" command 查看日志，而是会收到错误消息，指出该角色缺少权限。运行“gcloud logging logs list”命令所需的权限是“serviceusage.services.usage”权限，由“Editor”和项目“Owner”角色和其他角色使用。我知道这不是你的问题，但我也会提到这一点，以防你遇到它。

有一个Public Issue Tracker 关于这个问题，默认情况下在角色角色/logging.viewer 中包含权限“serviceusage.services.use”，因此您将来不必手动执行此操作。现在您需要手动添加权限。

由于我不确定为什么您的用户无法在控制台中查看日志，因为我的复制成功，您能否附上问题的屏幕截图并进一步详细说明您的问题？

（例如：

• 描述您授予角色/logging.viewer 的步骤

• 您的解决方法（授予项目查看器）是否允许用户通过控制台查看日志？

• 当角色/logging.viewer 被授予时，用户或您在尝试查看日志时是否收到错误？ )

Answer 2

如果您授予用户roles/logging.viewer 权限，则他们只能查看 StackDriver 服务，而无法访问其他服务，例如 Storage。

只给出 roles/logging.viewer 时会出现什么错误？可以附上截图吗？