Роли
Для управления доступом в сервисе можно использовать:
При назначении ролей рекомендуется придерживаться принципа минимальных привилегий.
Сервисные роли
Заголовок раздела «Сервисные роли»auditlogs.viewer
Заголовок раздела «auditlogs.viewer»Роль auditlogs.viewer позволяет получать информацию о ресурсах сервиса.
С этой ролью вы можете:
- получать информацию о хранилищах, коллекторах и событиях;
- просматривать квоты;
auditlogs.editor
Заголовок раздела «auditlogs.editor»Роль auditlogs.editor позволяет управлять ресурсами сервиса.
С этой ролью вы можете:
- получать информацию о хранилищах, коллекторах и событиях;
- создавать, редактировать и удалять любые ресурсы сервиса;
- просматривать квоты;
Роль включает все разрешения для роли auditlogs.viewer.
auditlogs.admin
Заголовок раздела «auditlogs.admin»Роль auditlogs.admin позволяет управлять ресурсами сервиса и доступом к ним.
С этой ролью вы можете:
- получать информацию о хранилищах, коллекторах и событиях;
- создавать, редактировать и удалять любые ресурсы сервиса;
- просматривать квоты;
- управлять доступами (назначать IAM-роли).
Роль включает все разрешения для ролей auditlogs.editor и auditlogs.viewer.
Роли сервисного аккаунта
Заголовок раздела «Роли сервисного аккаунта»Audit Logs позволяет хранить логи в бакете Object Storage. Для взаимодействия с бакетами используется сервисный аккаунт.
Для передачи событий в бакет сервисный аккаунт должен иметь роли:
auditlogs.eventsSource.eventsReader— для чтения событий;storage.bucket.objectEditor— для записи объектов в бакет.
auditlogs.storage.uploader
Заголовок раздела «auditlogs.storage.uploader»Служебная роль для сервисных аккаунтов auditlogs.storage.uploader позволяет загружать события из коллектора в хранилище.
auditlogs.eventsSource.eventsReader
Заголовок раздела «auditlogs.eventsSource.eventsReader»Служебная роль для сервисных аккаунтов auditlogs.eventsSource.eventsReader позволяет читать события из другого источника данных — проекта или организации.