我需要使开发人员能够访问Stackdriver中的生产日志,但是我想限制他们导出/下载数据的能力。在查看了文档之后,似乎对项目具有查看权限的任何人都可以从控制台日志查看器中下载批量日志。正确吗?
答案 0 :(得分:0)
是正确的。在项目或日志记录级别授予 viewer 角色将使您的开发人员可以读取和下载日志,但无法为其创建导出接收器。尽管下载限制最多只能包含300个日志条目,但超过此限制时,使用 Download Logs 时,将提示导出:
将最多下载300个当前加载到Logs Viewer中的日志条目。如果您需要下载更多日志,请考虑导出日志。
目前,尚无特定于下载日志的粒度角色,该角色通过控制台将其与列出的日志条目分组。您可以检查有关自定义角色[1]和其他日志记录角色[2]的引用:
为了实施限制,您仍然可以:
创建一个单独的项目,其中包含不敏感的日志条目(例如较低环境),其日志查看角色可以不受限制。
将制作者的角色分配给一个人(例如主要开发人员)。
[1] https://cloud.google.com/iam/docs/understanding-custom-roles#basic_concepts
[2] https://cloud.google.com/iam/docs/understanding-roles#logging-roles