Como conceder acesso a projetos

Conceda e controle o acesso a seu projeto do Google Cloud Platform, bem como aos recursos associados, por meio da atribuição de papéis. É possível atribuir papéis aos membros do projeto e às contas de serviço.

Uma conta de serviço representa uma identidade de serviço do Google Cloud, como o App Engine, e pode ser usada para acessar outros serviços. Para saber como contas de serviço são usadas no App Engine, consulte Como autorizar apps.

Como escolher o controle de acesso certo

Atribua papéis aos membros do projeto e às contas de serviço para definir o grau de acesso ao projeto do GCP. É possível usar os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) para controles de acesso mais refinados. Para detalhes sobre os vários papéis do App Engine, consulte Controle de acesso.

Em geral, os papéis primários Proprietário, Editor e Leitor são mais simples de usar. No entanto, os papéis predefinidos têm opções de acesso mais refinadas. Se você ainda está apenas começando no App Engine, a abordagem mais simples para o controle de acesso é conceder o papel Editor a todas as pessoas envolvidas no projeto seguindo as instruções abaixo em Como definir permissões. É importante lembrar que apenas um Proprietário pode criar aplicativos do App Engine no projeto e adicionar outras pessoas a ele.

Quando o projeto estiver pronto para papéis mais complexos:

  1. Identifique todos os cargos diferentes que precisam de acesso ao projeto.

  2. Configure um grupo do Google para cada um desses cargos.

  3. Adicione membros conforme desejado a cada grupo do Google.

  4. Siga as instruções abaixo sobre como definir as permissões para adicionar cada grupo do Google como membro do projeto e, depois, definir o papel de cada grupo.

Como definir permissões

Para adicionar um membro do projeto e definir permissões:

  1. No console do Google Cloud Platform, acesse a página "Permissões de IAM e administrador" do projeto.

    Acesse a página "Permissões de IAM e administrador"

  2. Clique em Adicionar membro para adicionar novos membros ao projeto e configurar os respectivos papéis usando o menu suspenso. Adicione um e-mail de usuário individual ou, caso use Grupos do Google para gerenciar papéis de grupo, forneça um e-mail desse serviço, como example-google-group@googlegroups.com.

    Adicionar um grupo

  3. Atribua um papel.

Para consultar descrições e uma matriz de comparação entre todos os papéis do App Engine, além de saber mais sobre limitações, entre em Controle de acesso.

Existem outros papéis no menu suspenso que se aplicam a outros produtos do Google Cloud Platform. Para mais informações sobre esses papéis, consulte Papéis predefinidos.

Como implantar usando papéis do IAM

Você pode conceder a capacidade de implantar novas versões de apps no projeto do GCP atribuindo os papéis apropriados do IAM a uma conta de usuário.

O papel de implantador do App Engine é recomendado para uma conta de usuário responsável apenas por implantar apps. O papel de administrador do App Engine também pode implantar apps, mas permite privilégios adicionais. Dependendo dos arquivos de configuração que precisam ser implantados, talvez também seja necessário conceder papéis adicionais a uma conta, conforme explicado nas etapas abaixo.

Como configurar tráfego

Por padrão, uma conta de usuário com o papel de implantador do App Engine não tem permissão para migrar nem dividir tráfego para qualquer versão de um app. No entanto, se o destino de uma implantação for uma versão existente que esteja atualmente veiculando tráfego, a versão atualizada desse app manterá as configurações originais de tráfego da versão substituída.

Por exemplo, se a versão 20201155example estiver veiculando tráfego no app, quando você executar o comando gcloud app deploy --version 20201155example, a versão atualizada substituirá a existente e começará a veicular o tráfego.

Se uma conta de usuário for responsável pela configuração do tráfego, considere usar o papel de administrador do App Engine ou de administrador de serviços do App Engine.

Antes de começar

Para uma conta de usuário implantar apps usando um papel do IAM:

Para conceder a uma conta de usuário a capacidade de implantar no App Engine:

  1. No Console do Google Cloud Platform, acesse a página "Permissões de IAM e administrador" do projeto.

    Acessar a página "Permissões"

  2. Clique em Adicionar membro para adicionar a conta de usuário ao projeto e selecione todos os papéis dessa conta usando o menu suspenso:

    • Papéis obrigatórios para permitir que uma conta implante no App Engine:
      1. Atribua um dos seguintes papéis:
        • Use o papel App Engine > Implantador do App Engine para permitir que a conta implante uma versão de um aplicativo.
        • Além disso, para permitir que os arquivos dos.yaml ou dispatch.yaml sejam implantados com um aplicativo, use o papel App Engine > Administrador do App Engine.
        A conta de usuário já tem a permissão adequada para usar a API Admin para implantar aplicativos.
      2. Para permitir o uso das ferramentas do App Engine na implantação de aplicativos, é preciso também conceder à conta de usuário todos os papéis abaixo:
        • Papel Storage > Administrador do Storage: permissões de ferramentas para fazer upload no Cloud Storage.
        • Papel Cloud Build > Editor do Cloud Build: permissão de ferramentas para usar o serviço Cloud Build.
          Caso esse papel não seja exibido, ative a API Cloud Build:
          Acessar a página Biblioteca de API
    • Opcional. Para conceder permissões para uploads de outras alterações de configuração, atribua à conta de usuário os seguintes papéis:
      • Papel Datastore > Administrador de índice do Datastore: permissões para fazer upload de arquivos index.yaml.
      • Papel Cloud Scheduler > Administrador do Cloud Scheduler: permissões para fazer upload de arquivos cron.yaml.
      • Para permitir que uma conta de usuário implante alterações na configuração de rede padrão, é preciso atribuir à conta um papel com permissões adequadas, como Compute Engine > Administrador da rede do Compute.

A conta de usuário já pode implantar aplicativos no aplicativo do App Engine no projeto do GCP associado. Para detalhes sobre como implantar apps, consulte Como implantar o app.

Se você configurou as permissões como indicado acima, mas as contas ainda não podem implantar apps, siga as etapas abaixo para garantir que o projeto do GCP esteja configurado corretamente.

Por padrão, quando você cria um novo projeto do GCP e ativa-o para o ambiente flexível do App Engine, esse projeto é criado com todas as permissões e APIs necessárias para a implantação de apps. No entanto, é possível que uma ou mais dessas permissões ou APIs sejam removidas pelas configurações do projeto. As instruções abaixo mostram o que verificar em caso de falha na implantação.

Verifique se os itens a seguir existem ou foram ativados no projeto do GCP:

  1. O aplicativo do App Engine foi criado e o faturamento está ativado.

  2. As seguintes APIs estão ativadas no Console do GCP:

    1. Ambiente flexível do Google App Engine

      Acessar a página Biblioteca de APIs

    2. API Google Cloud Build:

      Acessar a página Biblioteca de APIs

  3. Na página IAM e administrador do Console do GCP, verifique se as permissões de Editor estão atribuídas à conta de serviço das APIs Google usada pelo Cloud Build, [PROJECT_NUMBER]>@cloudbuild.gserviceaccount.com. A conta de serviço precisa ter permissões de gravação no intervalo staging.[PROJECT_ID].appspot.com para organizar arquivos no Cloud Build. Por padrão, essa conta de serviço tem o papel de Editor no projeto. Portanto, será preciso fazer alterações apenas se você tiver alterado o papel dessa conta:

    Acessar a página "Contas de serviço"

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Ambiente flexível do App Engine para documentos .NET