Configura los permisos de observabilidad

En este documento, se describe cómo puedes configurar un proyecto Google Cloud para supervisar o mostrar datos de telemetría de varios proyectos Google Cloud . Si solo deseas supervisar o ver los datos almacenados en un proyecto deGoogle Cloud , no es necesario que realices ninguna configuración, ya que las herramientas de visualización y análisis están configuradas para usar los datos almacenados en el proyecto de Google Cloud seleccionado por el selector de proyectos. Sin embargo, si los datos de telemetría que deseas ver o analizar provienen de varios proyectos, debes realizar algunas actividades de configuración para obtener una vista agregada de esos datos.

Acerca de los ámbitos de observabilidad

Las herramientas de análisis y visualización de Google Cloud Observability se basan en permisos específicos de tipos de datos para determinar qué datos mostrar o analizar. Un alcance define los recursos en los que se busca un tipo de datos en particular. Con la excepción de los datos de métricas, tus roles de Identity and Access Management (IAM) en los proyectos y las vistas de registros en los que se realiza la búsqueda determinan qué datos se muestran.

En el resto de esta sección, se describen los alcances que puedes ver y configurar.

Permiso de observabilidad

Este alcance controla cómo las páginas del explorador y del panel buscan los datos que se mostrarán. Cada proyecto de Google Cloud contiene un solo alcance de observabilidad, que enumera el alcance de registros predeterminado, el alcance de métricas y el alcance de seguimiento predeterminado.

Recomendamos configurar los componentes del alcance de observabilidad en las siguientes situaciones:

  • Registras aplicaciones con App Hub. Pueden ser aplicaciones que registraste tú mismo o que implementaste con el Centro de diseño de aplicaciones.
  • Cuando deseas tener una vista unificada de los datos de telemetría almacenados en diferentes proyectos de Google Cloud

No es necesario que configures los componentes del alcance de observabilidad para un proyecto. Si dependes de los valores predeterminados del sistema, ocurrirá lo siguiente:

  • En la página Explorador de registros, se muestran los datos de registro que se originan en el proyecto.
  • En las páginas Explorador de métricas y Explorador de seguimiento, se muestran los datos de métricas y de seguimiento almacenados en el proyecto.
  • Las políticas de alertas supervisan los datos de métricas almacenados en el proyecto.

Ámbitos de registros

Configura el ámbito de registros predeterminado de un proyecto para que, cuando abras la página del Explorador de registros, se muestren los datos que sueles querer ver. Un ámbito de registro puede enumerar proyectos, carpetas, organizaciones y vistas de registro. Por ejemplo, puedes establecer el alcance de registro predeterminado para enumerar una vista de registro que, cuando se consulta, devuelve los datos de registro de una aplicación de App Hub.

Puedes crear varios alcances de registro. Cuando usas la página Explorador de registros, puedes seleccionar un ámbito de registros diferente, lo que hace que la página busque los recursos que se enumeran en el ámbito seleccionado y, luego, actualice la pantalla.

Recomendamos configurar el alcance del registro predeterminado en las siguientes situaciones:

  • Enruta los datos de registro a un bucket de registros centralizado.
  • Enrutas datos de registros a otros proyectos o a buckets de registros almacenados por otro proyecto.
  • Usas vistas de registro.

Para obtener más información, consulta Crea y administra ámbitos de registros.

Permisos de métricas

Configura el permiso de métricas para que se muestren todos los proyectos que almacenan datos de métricas, de modo que tus gráficos y políticas de alertas puedan mostrar o supervisar una vista agregada de tus datos de métricas.

Cada Google Cloud proyecto contiene un solo permiso de métricas, y este permiso se establece de forma predeterminada para que solo se muestre el proyecto.

Te recomendamos que configures el alcance de las métricas cuando se cumpla alguna de las siguientes condiciones:

  • Deseas crear un gráfico con los datos almacenados en diferentes proyectos.
  • Quieres una política de alertas para supervisar los datos almacenados en diferentes proyectos.
  • Registras aplicaciones con App Hub. Para obtener información sobre esta situación, consulta Permisos de métricas para proyectos de administración.

Para obtener más información, consulta Descripción general de los ámbitos de métricas.

Permisos de Trace

Configura el permiso de seguimiento predeterminado para enumerar todos los proyectos que almacenan datos de seguimiento, de modo que, cuando abras la página del Explorador de seguimiento, tengas una vista agregada de tus datos de seguimiento.

Puedes crear varios ámbitos de seguimiento. Cuando usas la página Explorador de Trace, puedes seleccionar un permiso de seguimiento diferente, lo que hace que la página busque los proyectos que se enumeran en el permiso seleccionado y, luego, actualice la pantalla.

Te recomendamos que configures los permisos de seguimiento cuando desees tener una vista unificada de los datos de seguimiento almacenados en diferentes proyectos.

Para obtener más información, consulta Crea y administra ámbitos de seguimiento.

Configura el alcance de la observabilidad

Esta sección no se aplica a las carpetas ni a las organizaciones.

En el caso de los datos de registros y de seguimiento, tus roles de Identity and Access Management (IAM) en el proyecto que estás viendo, y en cualquier proyecto y vista de registros que se hayan buscado, afectan los datos que devuelve la consulta. Si emites una consulta para ver datos de registro para los que no tienes permiso, la consulta no devolverá ningún dato de registro.

En el caso de los datos de métricas, cuando se configura el permiso de métricas de un proyecto, se le otorga acceso de lectura a los datos de métricas almacenados por los proyectos que se indican en su permiso de métricas. Cuando a un usuario se le otorga un rol de Identity and Access Management que le permite ver datos de métricas en un proyecto, puede ver los datos de métricas disponibles para el proyecto.

Antes de comenzar

  1. Enable the Observability API.

    Enable the API

    Antes de habilitar la API, asegúrate de que esté seleccionado el proyecto correcto. Para las configuraciones de App Hub, selecciona el proyecto host de App Hub o el proyecto de administración de la carpeta habilitada para apps.

  2. Para obtener los permisos que necesitas para crear y ver ámbitos, pídele a tu administrador que te otorgue los siguientes roles de IAM:

    • Para crear y ver ámbitos de registros, y obtener el ámbito de registros predeterminado, obtén el rol Escritor de configuración de registros (roles/logging.configWriter) en tu proyecto.
    • Para modificar un permiso de métricas, debes tener el rol de Administrador de Monitoring (roles/monitoring.admin) en tu proyecto y en cada proyecto que quieras agregar a los permisos de métricas.
    • Para crear y ver ámbitos de seguimiento, y obtener el ámbito de seguimiento predeterminado, obtén el rol Usuario de Cloud Trace (roles/cloudtrace.user) en tu proyecto.
    • Para obtener y configurar los ámbitos predeterminados, usa el rol de editor de Observabilidad (roles/observability.editor) en tu proyecto.

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    Estos roles predefinidos contienen los permisos necesarios para crear y ver ámbitos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

    Permisos necesarios

    Se requieren los siguientes permisos para crear y ver ámbitos:

    • Para configurar los ámbitos de registros, haz lo siguiente: logging.logScopes.{create, delete, get, list, update}
    • Para configurar un ámbito de métricas, haz lo siguiente: monitoring.metricsscopes.{link, get, list}
    • Para configurar los ámbitos de seguimiento, haz lo siguiente: cloudtrace.traceScopes.{create, delete, get, list, update}
    • Para obtener y configurar los ámbitos predeterminados, haz lo siguiente: observability.scopes.{get, update}

    También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

  3. Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a gcloud CLI.

      Instala Google Cloud CLI. Después de la instalación, inicializa Google Cloud CLI ejecutando el siguiente comando: 

      gcloud init

      Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

    Si deseas obtener más información, consulta Autentica para usar REST en la Google Cloud documentación de autenticación.

    Cómo ver y establecer el alcance predeterminado

    Console

    Para configurar el alcance de la observabilidad, debes configurar sus componentes, que son el alcance de registros predeterminado, el alcance de métricas y el alcance de seguimiento predeterminado:

    1. En la Google Cloud consola, ve a la página  Configuración:

      Ir a Configuración

      Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

    2. En la barra de herramientas de la consola de Google Cloud , selecciona tu proyecto Google Cloud . Para las configuraciones de App Hub, selecciona el proyecto host de App Hub o el proyecto de administración de la carpeta habilitada para apps.

    3. Configura el alcance del registro predeterminado:

      1. Selecciona la pestaña Log Scopes.

        Se enumeran los permisos de registro existentes. La entrada con el ícono "Predeterminado", , es el ámbito de registros predeterminado. Si quieres crear un alcance de registros, haz clic en Crear alcance de registros y, luego, completa el diálogo. Para obtener más información, consulta Crea y administra ámbitos de registros.

      2. Busca la entrada que deseas designar como predeterminada, haz clic en  Más y, luego, selecciona Establecer como predeterminada.

    4. Configura el permiso de métricas:

      1. Selecciona la pestaña de alcance de las métricas.
      2. En el panel Proyectos de Google Cloud, haz clic en Agregar proyectos y, luego, completa el diálogo. Para obtener más información, consulta Configura permisos de métricas.

    5. Configura el alcance de seguimiento predeterminado:

      1. Selecciona la pestaña Trace Scopes y, luego, haz lo siguiente:

        Se muestran los permisos de registro existentes. La entrada con el ícono "Predeterminado", , es el alcance de seguimiento predeterminado. Si quieres crear un alcance de registro, haz clic en Crear alcance de registro y, luego, completa el diálogo. Para obtener más información, consulta Crea y administra ámbitos de seguimiento.

      2. Busca la entrada que deseas designar como predeterminada, haz clic en  Más y, luego, selecciona Establecer como predeterminada.

    gcloud

    Para ver y establecer el alcance de observabilidad predeterminado, haz lo siguiente:

    1. Para ver la configuración del alcance predeterminado, ejecuta el comando gcloud observability scopes describe.

      Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

      • OBSERVABILITY_SCOPE_ID: Es el nombre de un objeto Scope. Este valor debe establecerse en _Default.
      • LOCATION: El campo de ubicación debe establecerse en global.
      • PROJECT_ID: Es el identificador del proyecto.

      Ejecuta el comando gcloud observability scopes describe:

      Linux, macOS o Cloud Shell

      gcloud observability scopes describe OBSERVABILITY_SCOPE_ID \
   --location=LOCATION\
   --project=PROJECT_ID

      Windows (PowerShell)

      gcloud observability scopes describe OBSERVABILITY_SCOPE_ID `
   --location=LOCATION`
   --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud observability scopes describe OBSERVABILITY_SCOPE_ID ^
   --location=LOCATION^
   --project=PROJECT_ID

      La respuesta al comando es similar a la siguiente: 

      logScope: logging.googleapis.com/projects/my-project/locations/global/logScopes/_Default
name: projects/my-project/locations/global/scopes/_Default

    2. Para actualizar el alcance predeterminado, ejecuta el comando gcloud observability scopes update.

      Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

      • OBSERVABILITY_SCOPE_ID: Es el nombre de un objeto Scope. Este valor debe establecerse en _Default.
      • LOG_SCOPE_FQN_ID: Es el ID completamente calificado del alcance del registro. Este campo tiene el siguiente formato: 
        logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/logScopes/LOG_SCOPE_ID

        En la expresión anterior, LOG_SCOPE_ID es el ID del alcance del registro. Por ejemplo: my-scope

      • LOCATION: El campo de ubicación debe establecerse en global.
      • PROJECT_ID: Es el identificador del proyecto.

      Ejecuta el comando gcloud observability scopes update:

      Linux, macOS o Cloud Shell

      gcloud observability scopes update OBSERVABILITY_SCOPE_ID \
   --log-scope=LOG_SCOPE_FQN_ID\
   --location=LOCATION\
   --project=PROJECT_ID

      Windows (PowerShell)

      gcloud observability scopes update OBSERVABILITY_SCOPE_ID `
   --log-scope=LOG_SCOPE_FQN_ID`
   --location=LOCATION`
   --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud observability scopes update OBSERVABILITY_SCOPE_ID ^
   --log-scope=LOG_SCOPE_FQN_ID^
   --location=LOCATION^
   --project=PROJECT_ID

      Por ejemplo, si el valor de LOG_SCOPE_ID es my-scope, la respuesta es similar a la siguiente: 

      Updated scope [_Default].
logScope: logging.googleapis.com/projects/my-project/locations/global/logScopes/my-scope
name: projects/my-project/locations/global/scopes/_Default

    REST

    Para usar la API de Observability para obtener o establecer el alcance de registro predeterminado, haz una de las siguientes acciones:

    • Para obtener el alcance de registros predeterminado de un proyecto, envía una solicitud al extremo projects.locations.scopes.get. Debes especificar un parámetro de ruta de acceso. La respuesta es un objeto Scope, que enumera el alcance de registro predeterminado.

    • Para actualizar el permiso de registros predeterminado de un proyecto, envía una solicitud al extremo projects.locations.scopes.patch. Debes especificar un parámetro de ruta y parámetros de búsqueda, y proporcionar un objeto Scope. Los parámetros de consulta identifican qué campos se cambiaron. La respuesta es un objeto Scope.

    El parámetro de ruta de acceso para ambos extremos tiene la siguiente forma:

    projects/PROJECT_ID/locations/LOCATION/scopes/OBSERVABILITY_SCOPE_ID

    Los campos de la expresión anterior tienen el siguiente significado:

    • PROJECT_ID: Es el identificador del proyecto. Para las configuraciones de App Hub, selecciona el proyecto host de App Hub o el proyecto de administración de la carpeta habilitada para apps.
    • LOCATION: El campo de ubicación debe establecerse en global.
    • OBSERVABILITY_SCOPE_ID: Es el nombre de un objeto Scope. Este campo debe establecerse en _Default. El objeto Scope con el nombre _Default almacena información sobre el alcance del registro predeterminado y se crea automáticamente.

    Para enviar un comando a un extremo de API, puedes usar el Explorador de APIs, que te permite emitir un comando desde una página de referencia. Por ejemplo, para obtener el alcance predeterminado actual, puedes hacer lo siguiente:

    1. Haz clic en projects.locations.scopes.get.

    2. En el widget Try this method, ingresa lo siguiente en el campo name:

      projects/PROJECT_ID/locations/global/scopes/_Default

      Antes de copiar el campo anterior, reemplaza PROJECT_ID por el nombre de tu proyecto.

    3. Selecciona Ejecutar.

    4. En el cuadro de diálogo de autorización, completa los pasos necesarios.

      La respuesta es similar al ejemplo a continuación:

      {
"name": "projects/my-project/locations/global/scopes/_Default",
"logScope": "logging.googleapis.com/projects/my-project/locations/global/logScopes/_Default"
}