Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Las funciones determinan qué servicios y acciones están disponibles para una cuenta de usuario o de servicio. Los siguientes tipos de funciones otorgan acceso a App Engine:
Funciones básicas, que se aplican a todos los servicios y los recursos de un proyecto, incluido App Engine, entre otros. Por ejemplo, una cuenta con la función de editor puede cambiar la configuración de App Engine y de Cloud Storage.
Funciones predefinidas de App Engine, que proporcionan acceso detallado a App Engine. Cada servicio en el proyecto de Google Cloud proporciona sus propios roles predefinidos. Por ejemplo, una cuenta que solo tiene la función de implementador de App Engine puede implementar apps de App Engine, pero no puede ver ni crear objetos en Cloud Storage. Esa cuenta también necesitaría un rol predefinido de
Cloud Storage específico
para crear o ver objetos en Cloud Storage.
Funciones personalizadas, que proporcionan acceso detallado en función de una lista de permisos que especifiques.
Puedes usar funciones básicas cuando trabajas en proyectos más pequeños que tienen necesidades menos complejas. Para obtener controles de acceso más precisos, usa funciones predefinidas.
Funciones básicas
Las funciones básicas se aplican a todos los servicios y recursos de un proyecto. Por ejemplo, una cuenta con la función de editor puede cambiar la configuración de App Engine y de Cloud Storage.
Rol
Permisos de la consola de Google Cloud
Permisos de las herramientas
Owner
Obligatorio para crear aplicaciones de App Engine. Tiene todos los privilegios de visualizador y de editor, además de la capacidad de ver el código fuente implementado, invitar a usuarios, cambiar funciones de usuarios y borrar una aplicación.
Obligatorio para crear aplicaciones de App Engine. También puede implementar código de la aplicación y actualizar todas las opciones de configuración.
Editor
Examina la información de la aplicación y edita su configuración.
Implementa el código de la aplicación y actualiza índices, colas y trabajos cron.
Viewer
Examina la información de la aplicación.
Solicita registros.
Funciones predefinidas de App Engine
Role
Permissions
App Engine Admin
(roles/appengine.appAdmin)
Read/Write/Modify access to all application configuration and settings.
To deploy new versions, a principal must have the
Service Account User
(roles/iam.serviceAccountUser) role on the assigned App Engine
service account, and the Cloud Build Editor
(roles/cloudbuild.builds.editor), and Cloud Storage Object Admin
(roles/storage.objectAdmin) roles on the project.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.applications.update
appengine.instances.*
appengine.instances.delete
appengine.instances.enableDebug
appengine.instances.get
appengine.instances.list
appengine.memcache.addKey
appengine.memcache.flush
appengine.memcache.get
appengine.memcache.update
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.runtimes.actAsAdmin
appengine.services.*
appengine.services.delete
appengine.services.get
appengine.services.list
appengine.services.update
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
artifactregistry.projectsettings.get
artifactregistry.repositories.deleteArtifacts
artifactregistry.repositories.downloadArtifacts
artifactregistry.repositories.uploadArtifacts
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Creator
(roles/appengine.appCreator)
Ability to create the App Engine resource for the project.
Lowest-level resources where you can grant this role:
Project
appengine.applications.create
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Viewer
(roles/appengine.appViewer)
Read-only access to all application configuration and settings.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
artifactregistry.projectsettings.get
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Code Viewer
(roles/appengine.codeViewer)
Read-only access to all application configuration, settings, and deployed
source code.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.getFileContents
appengine.versions.list
artifactregistry.projectsettings.get
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Managed VM Debug Access
(roles/appengine.debugger)
Ability to read or manage v2 instances.
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.*
appengine.instances.delete
appengine.instances.enableDebug
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Deployer
(roles/appengine.deployer)
Read-only access to all application configuration and settings.
To deploy new versions, you must also have the
Service Account User
(roles/iam.serviceAccountUser) role on the assigned App Engine
service account, and the Cloud
Build Editor (roles/cloudbuild.builds.editor), and Cloud Storage Object Admin
(roles/storage.objectAdmin) roles on the project.
Cannot modify existing versions other than deleting versions that are not receiving traffic.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
artifactregistry.projectsettings.get
artifactregistry.repositories.deleteArtifacts
artifactregistry.repositories.downloadArtifacts
artifactregistry.repositories.uploadArtifacts
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Memcache Data Admin
(roles/appengine.memcacheDataAdmin)
Can get, set, delete, and flush App Engine Memcache items.
appengine.applications.get
appengine.memcache.addKey
appengine.memcache.flush
appengine.memcache.get
appengine.memcache.update
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Service Admin
(roles/appengine.serviceAdmin)
Read-only access to all application configuration and settings.
Write access to module-level and version-level settings. Cannot deploy a new version.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.delete
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.*
appengine.services.delete
appengine.services.get
appengine.services.list
appengine.services.update
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
artifactregistry.projectsettings.get
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Standard Environment Service Agent
(roles/appengine.serviceAgent)
Give App Engine Standard Envirnoment service account access to managed resources. Includes access to service accounts.
Los roles predefinidos para App Engine te ofrecen opciones más
específicas para el control de acceso.
Estas funciones solo proporcionan acceso a App Engine. Si el proyecto incluye otros servicios, como Cloud Storage o Cloud SQL, deberás asignar funciones adicionales para habilitar el acceso a los demás servicios.
Comparación de las funciones predefinidas de App Engine
En la siguiente tabla, se muestra una comparación completa de las capacidades de cada función predefinida de App Engine.
Función
Administrador de App Engine
Administrador de servicios de App Engine
Implementador de App Engine
Visualizador de App Engine
Visualizador de código de App Engine
Enumerar todos los servicios, las versiones y las instancias
Sí
Sí
Sí
Sí
Sí
Examinar todos los ajustes de aplicaciones, servicios, instancias y versiones
Sí
Sí
Sí
Sí
Sí
Examinar métricas de ejecución, como el uso de recursos, la información de carga y la información de errores
Sí
Sí
Sí
Sí
Sí
Examinar el código fuente de la aplicación
No
No
No
No
Sí
Implementar una versión nueva de una app
Sí, si también otorgas la función de usuario de cuenta de servicio
No
Sí, si también otorgas la función de usuario de cuenta de servicio
Usar SSH para conectarse a una instancia de VM en el entorno flexible
Sí
No
No
No
No
Cerrar una instancia
Sí
No
No
No
No
Inhabilitar y volver a habilitar la aplicación de App Engine
Sí
No
No
No
No
Acceder a controladores que tienen una restricción de login:admin (solo entornos de ejecución de primera generación)
Sí
No
No
No
No
Actualizar reglas de despacho
Sí
No
No
No
No
Actualizar la configuración de DoS
Sí
No
No
No
No
Actualizar programas cron
No
No
No
No
No
Actualizar el vencimiento predeterminado de cookies
Sí
No
No
No
No
Actualizar referentes
Sí
No
No
No
No
Actualizar remitentes de correo electrónico autorizados de la API
Sí
No
No
No
No
Para obtener más información sobre los permisos de IAM específicos que otorga cada función, consulta la sección Funciones de la API de Administrador.
Función recomendada para la implementación de la aplicación
Para una cuenta que solo es responsable de la implementación de versiones nuevas de una app, te recomendamos que otorgues las siguientes funciones:
Función de implementador de App Engine (roles/appengine.deployer)
Función de usuario de cuenta de servicio (roles/iam.serviceAccountUser)
La función de usuario de cuenta de servicio permite que la cuenta actúe en nombre de la cuenta de servicio predeterminada de App Engine durante el proceso de implementación.
Si la cuenta usa comandos de gcloud para realizar las implementaciones, también debes agregar estas funciones:
Administrador de objetos de almacenamiento (roles/storage.objectAdmin)
Editor de Cloud Build (roles/cloudbuild.builds.editor)
Para acceder a los datos almacenados en Datastore o actualizar
los índices, habilita el rol de administrador de índices de Cloud Datastore (roles/datastore.indexAdmin).
Separación de tareas de implementación y enrutamiento de tráfico
Muchas organizaciones separan la tarea de implementar una versión de la aplicación, de la tarea de incrementar el tráfico a la versión creada recientemente, ya que prefieren que distintas funciones de trabajo realicen estas tareas. Las funciones de implementador y administrador de servicios de App Engine proporcionan esta separación:
Funciones de implementador de App Engine y de usuario de cuenta de servicio: las cuentas están limitadas a implementar versiones nuevas y a borrar versiones anteriores que no entregan tráfico.
La cuenta que tenga estas funciones no podrá configurar el tráfico a ninguna versión ni cambiar la configuración a nivel de la aplicación, como las reglas de envío o el dominio de autenticación.
Función de administrador de servicios de App Engine: las cuentas no pueden implementar una versión nueva de una app ni cambiar la configuración a nivel de la aplicación. Sin embargo, esas cuentas tienen privilegios para cambiar las propiedades de los servicios y las versiones existentes, incluido el cambio de las versiones que pueden entregar tráfico. La función de administrador de servicios de App Engine es ideal para un departamento de operaciones o TI que incrementa el tráfico hacia las versiones recién implementadas.
Limitaciones de las funciones predefinidas
Ninguna de las funciones predefinidas de App Engine otorga acceso a las siguientes tareas:
Ver y descargar registros de aplicaciones
Ver gráficos de Monitoring en la consola de Google Cloud.
Inhabilitar y habilitar la facturación
Ejecutar análisis de seguridad en Cloud Security Scanner
Acceder a la configuración o a los datos almacenados en Datastore, las listas de tareas en cola, Memcache, Cloud Search o en cualquier otro producto de almacenamiento de Cloud Platform
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eRoles define the access levels for user and service accounts in App Engine, including basic, predefined, and custom options.\u003c/p\u003e\n"],["\u003cp\u003eBasic roles provide broad access across all project services, while predefined App Engine roles offer granular access specifically within App Engine.\u003c/p\u003e\n"],["\u003cp\u003ePredefined roles, such as App Engine Deployer, Admin, and Viewer, grant varying levels of permissions, from deploying apps to read-only access.\u003c/p\u003e\n"],["\u003cp\u003eFor deploying new versions, the recommended setup includes the App Engine Deployer role, and Service Account User role, along with additional roles if using the gcloud commands, in order to impersonate the default App Engine service account during deployment.\u003c/p\u003e\n"],["\u003cp\u003eSeparation of deployment and traffic management can be achieved using App Engine Deployer roles for deployments and App Engine Service Admin roles for controlling traffic and existing service settings.\u003c/p\u003e\n"]]],[],null,["# Roles that grant access to App Engine\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\nRoles determine which services and actions are available to a user account or\nservice account. The following types of roles grant access to App Engine:\n\n- [Basic roles](#basic_roles) which apply to all services and resources in a\n project, including but not limited App Engine. For example, an account\n with the Editor role can change App Engine settings as well as Cloud\n Storage settings.\n\n- [Predefined App Engine roles](#predefined_roles), which provide\n granular access to App Engine. Each service in your\n Google Cloud project provides its own predefined roles. For example, an\n account that only has the App Engine Deployer role\n can deploy App Engine apps but cannot view or create objects\n in Cloud Storage. Such an account would also need a specific [Cloud Storage\n predefined role](/iam/docs/understanding-roles#cloud-storage-roles)\n to create or view objects in Cloud Storage.\n\n- [Custom roles](/iam/docs/understanding-custom-roles),\n which provide granular access according to a list of permissions you specify.\n\nYou can use basic roles when you are working on smaller projects that have\nless complex needs. For more fine-tuned access controls, use predefined roles.\n\nBasic roles\n-----------\n\nBasic roles apply to all services and resources in a project. For example, an\naccount in the Editor role can change App Engine settings as well as\nCloud Storage settings.\n\nPredefined App Engine roles\n---------------------------\n\nThe predefined roles for App Engine provide you with finer grained options for access control.\n\n\u003cbr /\u003e\n\n*These roles only provide access to App Engine.* If your project includes\nother services, such as Cloud Storage or Cloud SQL, you will need to assign\n[additional roles](/iam/docs/understanding-roles#predefined_roles) to enable access to the other services.\n\n### Comparison of App Engine predefined roles\n\nThe following table provides a complete comparison of the capabilities of each\npredefined App Engine role.\n\n| **Note:** The predefined roles are enforced in the [Google Cloud console](https://console.cloud.google.com/iam-admin/iam), the [Admin API](/appengine/docs/admin-api/access-control), and other tooling that requires access, including the [deployment commands](/appengine/docs/standard/testing-and-deploying-your-app#deploying_your_application).\n\nFor details about the specific IAM permissions that are granted by each role,\nsee the [Roles](/appengine/docs/admin-api/access-control#roles) section of the\nAdmin API.\n\nRecommended role for application deployment\n-------------------------------------------\n\nFor an account that is responsible *only* for deploying new versions of an app,\nwe recommend that you grant the following roles:\n\n- App Engine Deployer role (`roles/appengine.deployer`)\n- Service Account User role (`roles/iam.serviceAccountUser`)\n\n The [Service Account User role](/iam/docs/service-account-permissions#user-role)\n enables the account to impersonate the default App Engine service account\n during the deployment process.\n-\n If the account uses `gcloud` commands to deploy, add these roles as well:\n\n - Storage Object Admin (`roles/storage.objectAdmin`)\n - Cloud Build Editor (`roles/cloudbuild.builds.editor`)\n- To access data stored in Datastore, or update\n indexes, enable the Cloud Datastore Index Admin role (`roles/datastore.indexAdmin`).\n\n| **Note:** If you have granted an account the App Engine Admin role, you don't need to grant it the App Engine Deployer role, because the Admin role holds the same relevant permissions as the Deployer role, along with additional administrative privileges. We recommend using the App Engine Deployer role for accounts that are responsible only for deploying new versions.\n\nFor details about how to grant the required permissions, see\n[Creating a user account](/appengine/docs/standard/access-control#user_account).\n\n### Separation of deployment and traffic routing duties\n\nMany organizations prefer to separate the task of deploying an application\nversion from the task of ramping up traffic to the newly created version, and to\nhave these tasks done by different job functions. The App Engine Deployer and\nApp Engine Service Admin roles provide this separation:\n\n- App Engine Deployer plus Service Account User roles - Accounts are limited to deploying new versions and deleting old versions that are not serving traffic. The account with these roles won't be able to configure traffic to any version nor change application-level settings such as dispatch rules or authentication domain.\n- App Engine Service Admin role - Accounts cannot deploy a new version of an app nor change application-level settings. However, those accounts have privileges to change the properties of existing services and versions, including changing which versions can serve traffic. The App Engine Service Admin role is ideal for an Operations/IT department that handles ramping up traffic to newly deployed versions.\n\n\n| **Note** : Accounts with the App Engine Deployer role can overwrite a version that is serving traffic by deploying a new version with the same name (using the `--version` flag).\n\n\u003cbr /\u003e\n\n### Limitations of the predefined roles\n\nNone of the App Engine predefined roles grant access to the following:\n\n- View and download application logs.\n- View Monitoring charts in the Google Cloud console.\n- Enable and Disable billing.\n- Run security scans in Cloud Security Scanner.\n- Access configuration or data stored in Datastore, Task Queues, Cloud Search or any other Cloud Platform storage product."]]
