Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
I ruoli determinano quali servizi e azioni sono disponibili per un account utente o un account di servizio. I seguenti tipi di ruoli concedono l'accesso ad App Engine:
Ruoli di base che si applicano a tutti i servizi e le risorse di un progetto, tra cui, a titolo esemplificativo, App Engine. Ad esempio, un account con il ruolo Editor può modificare le impostazioni di App Engine e Cloud Storage.
Ruoli App Engine predefiniti, che forniscono accesso granulare ad App Engine. Ogni servizio nel tuo
Google Cloud progetto fornisce i propri ruoli predefiniti. Ad esempio, un account con solo il ruolo Deployer App Engine può eseguire il deployment di app App Engine, ma non può visualizzare o creare oggetti in Cloud Storage. Un account di questo tipo richiede anche un ruolo predefinito Cloud Storage specifico per creare o visualizzare oggetti in Cloud Storage.
Ruoli personalizzati,
che forniscono un accesso granulare in base a un elenco di autorizzazioni specificate.
Puoi utilizzare i ruoli di base quando lavori a progetti più piccoli con esigenze meno complesse. Per controlli dell'accesso più precisi, utilizza i ruoli predefiniti.
Ruoli di base
I ruoli di base si applicano a tutti i servizi e le risorse di un progetto. Ad esempio, un account con il ruolo Editor può modificare le impostazioni di App Engine e Cloud Storage.
Ruolo
Google Cloud autorizzazioni della console
Autorizzazioni degli strumenti
Owner
Obbligatorio per creare applicazioni App Engine. Tutti i privilegi di visualizzatore e editor, nonché la possibilità di visualizzare il codice sorgente disegnato, invitare utenti, modificare i ruoli utente ed eliminare un'applicazione.
Obbligatorio per creare applicazioni App Engine. Può anche eseguire il deployment
del codice dell'applicazione e aggiornare tutte le configurazioni.
Editor
Visualizza le informazioni sull'applicazione e modifica le impostazioni dell'applicazione.
Esegui il deployment del codice dell'applicazione, aggiorna gli indici/le code/i cron.
Viewer
Visualizza le informazioni sull'applicazione.
Richiedere log
Ruoli App Engine predefiniti
Role
Permissions
App Engine Admin
(roles/appengine.appAdmin)
Read/Write/Modify access to all application configuration and settings.
To deploy new versions, a principal must have the
Service Account User
(roles/iam.serviceAccountUser) role on the assigned App Engine
service account, and the Cloud Build Editor
(roles/cloudbuild.builds.editor), and Cloud Storage Object Admin
(roles/storage.objectAdmin) roles on the project.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.applications.update
appengine.instances.*
appengine.instances.delete
appengine.instances.enableDebug
appengine.instances.get
appengine.instances.list
appengine.memcache.addKey
appengine.memcache.flush
appengine.memcache.get
appengine.memcache.update
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.runtimes.actAsAdmin
appengine.services.*
appengine.services.delete
appengine.services.get
appengine.services.list
appengine.services.update
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
artifactregistry.projectsettings.get
artifactregistry.repositories.deleteArtifacts
artifactregistry.repositories.downloadArtifacts
artifactregistry.repositories.uploadArtifacts
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Creator
(roles/appengine.appCreator)
Ability to create the App Engine resource for the project.
Lowest-level resources where you can grant this role:
Project
appengine.applications.create
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Viewer
(roles/appengine.appViewer)
Read-only access to all application configuration and settings.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
artifactregistry.projectsettings.get
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Code Viewer
(roles/appengine.codeViewer)
Read-only access to all application configuration, settings, and deployed
source code.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.getFileContents
appengine.versions.list
artifactregistry.projectsettings.get
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Managed VM Debug Access
(roles/appengine.debugger)
Ability to read or manage v2 instances.
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.*
appengine.instances.delete
appengine.instances.enableDebug
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Deployer
(roles/appengine.deployer)
Read-only access to all application configuration and settings.
To deploy new versions, you must also have the
Service Account User
(roles/iam.serviceAccountUser) role on the assigned App Engine
service account, and the Cloud
Build Editor (roles/cloudbuild.builds.editor), and Cloud Storage Object Admin
(roles/storage.objectAdmin) roles on the project.
Cannot modify existing versions other than deleting versions that are not receiving traffic.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
artifactregistry.projectsettings.get
artifactregistry.repositories.deleteArtifacts
artifactregistry.repositories.downloadArtifacts
artifactregistry.repositories.uploadArtifacts
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Memcache Data Admin
(roles/appengine.memcacheDataAdmin)
Can get, set, delete, and flush App Engine Memcache items.
appengine.applications.get
appengine.memcache.addKey
appengine.memcache.flush
appengine.memcache.get
appengine.memcache.update
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Service Admin
(roles/appengine.serviceAdmin)
Read-only access to all application configuration and settings.
Write access to module-level and version-level settings. Cannot deploy a new version.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.delete
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.*
appengine.services.delete
appengine.services.get
appengine.services.list
appengine.services.update
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
artifactregistry.projectsettings.get
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Standard Environment Service Agent
(roles/appengine.serviceAgent)
Give App Engine Standard Envirnoment service account access to managed resources. Includes access to service accounts.
I ruoli predefiniti per App Engine offrono opzioni più granulari per controllo dell'accesso#39;accesso.
Questi ruoli forniscono l'accesso solo ad App Engine. Se il tuo progetto include altri servizi, come Cloud Storage o Cloud SQL, dovrai assegnare ruoli aggiuntivi per consentire l'accesso agli altri servizi.
Confronto dei ruoli predefiniti di App Engine
La tabella seguente fornisce un confronto completo delle funzionalità di ciascun ruolo App Engine predefinito.
Capacità
App Engine Admin
App Engine Service Admin
Deployer App Engine
App Engine Viewer
App Engine Code Viewer
Elenco di tutti i servizi, le versioni e le istanze
Sì
Sì
Sì
Sì
Sì
Visualizzare tutte le impostazioni di applicazioni, servizi, versioni e istanze
Sì
Sì
Sì
Sì
Sì
Visualizza le metriche di runtime, come utilizzo delle risorse, informazioni sul caricamento e informazioni sugli errori
Sì
Sì
Sì
Sì
Sì
Visualizzare il codice sorgente dell'app
No
No
No
No
Sì
Eseguire il deployment di una nuova versione di un'app
Sì, se concedi anche il ruolo Utente account di servizio
No
Sì, se concedi anche il ruolo Utente account di servizio
Utilizzare SSH per connettersi a un'istanza VM nell'ambiente flessibile
Sì
No
No
No
No
Arrestare un'istanza
Sì
No
No
No
No
Disattivare e riattivare l'applicazione App Engine
Sì
No
No
No
No
Gestori dell'accesso con una limitazione di accesso:amministratore (solo runtime di prima generazione)
Sì
No
No
No
No
Aggiorna le regole di invio
Sì
No
No
No
No
Aggiornare le impostazioni DoS
Sì
No
No
No
No
Aggiornare le pianificazioni cron
No
No
No
No
No
Aggiornare la scadenza predefinita dei cookie
Sì
No
No
No
No
Aggiorna i referrer
Sì
No
No
No
No
Aggiorna i mittenti autorizzati dell'API Email
Sì
No
No
No
No
Per informazioni dettagliate sulle autorizzazioni IAM specifiche concesse da ciascun ruolo, consulta la sezione Ruoli dell'API Admin.
Ruolo consigliato per il deployment delle applicazioni
Per un account responsabile solo del deployment di nuove versioni di un'app,
consigliamo di concedere i seguenti ruoli:
Ruolo Deployer App Engine (roles/appengine.deployer)
Ruolo Utente account di servizio (roles/iam.serviceAccountUser)
Il ruolo Utente account di servizio consente all'account di simulare l'identità dell'account di servizio App Engine predefinito durante la procedura di deployment.
Se l'account utilizza i comandi gcloud per il deployment, aggiungi anche questi ruoli:
Per accedere ai dati archiviati in Datastore o aggiornare gli indici, abilita il ruolo Cloud Datastore Index Admin (roles/datastore.indexAdmin).
Per informazioni dettagliate su come concedere le autorizzazioni richieste, consulta
Creare un account utente.
Separazione dei compiti di deployment e routing del traffico
Molte organizzazioni preferiscono separare l'attività di deployment di una versione dell'applicazione dall'attività di aumento del traffico verso la versione appena creata e svolgere queste attività con funzioni di job diverse. I ruoli App Engine Deployer e App Engine Service Admin offrono questa separazione:
Deployer App Engine e i ruoli Utente account di servizio: gli account sono limitati al deployment di nuove versioni ed eliminazione di quelle precedenti che non generano traffico.
L'account con questi ruoli non potrà configurare il traffico per nessuna versione né modificare le impostazioni a livello di applicazione, come le regole di invio o il dominio di autenticazione.
Ruolo Amministratore di servizi App Engine: gli account non possono eseguire il deployment di una nuova versione di un'app né modificare le impostazioni a livello di applicazione. Tuttavia, questi account dispongono dei privilegi per modificare le proprietà di servizi e versioni esistenti, inclusa la modifica delle versioni che possono gestire il traffico. Il ruolo Amministratore servizio App Engine è ideale per un reparto Operations/IT che gestisce l'aumento del traffico verso le versioni di recente implementazione.
Limiti dei ruoli predefiniti
Nessuno dei ruoli predefiniti di App Engine concede l'accesso a quanto segue:
Visualizzare e scaricare i log dell'applicazione.
Visualizza i grafici di monitoraggio nella Google Cloud console.
Attiva e disattiva la fatturazione.
Esegui le scansioni di sicurezza in Cloud Security Scanner.
Accedi alla configurazione o ai dati archiviati in Datastore, Task Queues, Cloud
Search o in qualsiasi altro prodotto di archiviazione della piattaforma Cloud.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-08-25 UTC."],[[["\u003cp\u003eRoles define the access levels for user and service accounts in App Engine, including basic, predefined, and custom options.\u003c/p\u003e\n"],["\u003cp\u003eBasic roles provide broad access across all project services, while predefined App Engine roles offer granular access specifically within App Engine.\u003c/p\u003e\n"],["\u003cp\u003ePredefined roles, such as App Engine Deployer, Admin, and Viewer, grant varying levels of permissions, from deploying apps to read-only access.\u003c/p\u003e\n"],["\u003cp\u003eFor deploying new versions, the recommended setup includes the App Engine Deployer role, and Service Account User role, along with additional roles if using the gcloud commands, in order to impersonate the default App Engine service account during deployment.\u003c/p\u003e\n"],["\u003cp\u003eSeparation of deployment and traffic management can be achieved using App Engine Deployer roles for deployments and App Engine Service Admin roles for controlling traffic and existing service settings.\u003c/p\u003e\n"]]],[],null,["# Roles that grant access to App Engine\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\nRoles determine which services and actions are available to a user account or\nservice account. The following types of roles grant access to App Engine:\n\n- [Basic roles](#basic_roles) which apply to all services and resources in a\n project, including but not limited App Engine. For example, an account\n with the Editor role can change App Engine settings as well as Cloud\n Storage settings.\n\n- [Predefined App Engine roles](#predefined_roles), which provide\n granular access to App Engine. Each service in your\n Google Cloud project provides its own predefined roles. For example, an\n account that only has the App Engine Deployer role\n can deploy App Engine apps but cannot view or create objects\n in Cloud Storage. Such an account would also need a specific [Cloud Storage\n predefined role](/iam/docs/understanding-roles#cloud-storage-roles)\n to create or view objects in Cloud Storage.\n\n- [Custom roles](/iam/docs/understanding-custom-roles),\n which provide granular access according to a list of permissions you specify.\n\nYou can use basic roles when you are working on smaller projects that have\nless complex needs. For more fine-tuned access controls, use predefined roles.\n\nBasic roles\n-----------\n\nBasic roles apply to all services and resources in a project. For example, an\naccount in the Editor role can change App Engine settings as well as\nCloud Storage settings.\n\nPredefined App Engine roles\n---------------------------\n\nThe predefined roles for App Engine provide you with finer grained options for access control.\n\n\u003cbr /\u003e\n\n*These roles only provide access to App Engine.* If your project includes\nother services, such as Cloud Storage or Cloud SQL, you will need to assign\n[additional roles](/iam/docs/understanding-roles#predefined_roles) to enable access to the other services.\n\n### Comparison of App Engine predefined roles\n\nThe following table provides a complete comparison of the capabilities of each\npredefined App Engine role.\n\n| **Note:** The predefined roles are enforced in the [Google Cloud console](https://console.cloud.google.com/iam-admin/iam), the [Admin API](/appengine/docs/admin-api/access-control), and other tooling that requires access, including the [deployment commands](/appengine/docs/standard/testing-and-deploying-your-app#deploying_your_application).\n\nFor details about the specific IAM permissions that are granted by each role,\nsee the [Roles](/appengine/docs/admin-api/access-control#roles) section of the\nAdmin API.\n\nRecommended role for application deployment\n-------------------------------------------\n\nFor an account that is responsible *only* for deploying new versions of an app,\nwe recommend that you grant the following roles:\n\n- App Engine Deployer role (`roles/appengine.deployer`)\n- Service Account User role (`roles/iam.serviceAccountUser`)\n\n The [Service Account User role](/iam/docs/service-account-permissions#user-role)\n enables the account to impersonate the default App Engine service account\n during the deployment process.\n-\n If the account uses `gcloud` commands to deploy, add these roles as well:\n\n - Storage Object Admin (`roles/storage.objectAdmin`)\n - Cloud Build Editor (`roles/cloudbuild.builds.editor`)\n- To access data stored in Datastore, or update\n indexes, enable the Cloud Datastore Index Admin role (`roles/datastore.indexAdmin`).\n\n| **Note:** If you have granted an account the App Engine Admin role, you don't need to grant it the App Engine Deployer role, because the Admin role holds the same relevant permissions as the Deployer role, along with additional administrative privileges. We recommend using the App Engine Deployer role for accounts that are responsible only for deploying new versions.\n\nFor details about how to grant the required permissions, see\n[Creating a user account](/appengine/docs/standard/access-control#user_account).\n\n### Separation of deployment and traffic routing duties\n\nMany organizations prefer to separate the task of deploying an application\nversion from the task of ramping up traffic to the newly created version, and to\nhave these tasks done by different job functions. The App Engine Deployer and\nApp Engine Service Admin roles provide this separation:\n\n- App Engine Deployer plus Service Account User roles - Accounts are limited to deploying new versions and deleting old versions that are not serving traffic. The account with these roles won't be able to configure traffic to any version nor change application-level settings such as dispatch rules or authentication domain.\n- App Engine Service Admin role - Accounts cannot deploy a new version of an app nor change application-level settings. However, those accounts have privileges to change the properties of existing services and versions, including changing which versions can serve traffic. The App Engine Service Admin role is ideal for an Operations/IT department that handles ramping up traffic to newly deployed versions.\n\n\n| **Note** : Accounts with the App Engine Deployer role can overwrite a version that is serving traffic by deploying a new version with the same name (using the `--version` flag).\n\n\u003cbr /\u003e\n\n### Limitations of the predefined roles\n\nNone of the App Engine predefined roles grant access to the following:\n\n- View and download application logs.\n- View Monitoring charts in the Google Cloud console.\n- Enable and Disable billing.\n- Run security scans in Cloud Security Scanner.\n- Access configuration or data stored in Datastore, Task Queues, Cloud Search or any other Cloud Platform storage product."]]
