Роли
Для управления доступом в сервисе можно использовать:
При назначении ролей рекомендуется придерживаться принципа минимальных привилегий.
Сервисные роли
auditlogs.viewer
Роль auditlogs.viewer позволяет получать информацию о ресурсах сервиса.
С этой ролью вы можете:
- получать информацию о хранилищах, коллекторах и событиях;
- просматривать квоты;
auditlogs.editor
Роль auditlogs.editor позволяет управлять ресурсами сервиса.
С этой ролью вы можете:
- получать информацию о хранилищах, коллекторах и событиях;
- создавать, редактировать и удалять любые ресурсы сервиса;
- просматривать квоты;
Роль включает все разрешения для роли auditlogs.viewer.
auditlogs.admin
Роль auditlogs.admin позволяет управлять ресурсами сервиса и доступом к ним.
С этой ролью вы можете:
- получать информацию о хранилищах, коллекторах и событиях;
- создавать, редактировать и удалять любые ресурсы сервиса;
- просматривать квоты;
- управлять доступами (назначать IAM-роли).
Роль включает все разрешения для ролей auditlogs.editor и auditlogs.viewer.
Роли сервисного аккаунта
Audit Logs позволяет хранить логи в бакете Object Storage. Для взаимодействия с бакетами используется сервисный аккаунт.
Для передачи событий в бакет сервисный аккаунт должен иметь роли:
auditlogs.eventsSource.eventsReader— для чтения событий;storage.bucket.objectEditor— для записи объектов в бакет.
Примечание
В целях безопасности назначить роль сервисному аккаунту на доступ в другой проект может только администратор организации.
auditlogs.storage.uploader
Служебная роль для сервисных аккаунтов auditlogs.storage.uploader позволяет загружать события из коллектора в хранилище.
auditlogs.eventsSource.eventsReader
Служебная роль для сервисных аккаунтов auditlogs.eventsSource.eventsReader позволяет читать события из другого источника данных — проекта или организации.