Los roles determinan qué servicios y acciones están disponibles para una cuenta de usuario o una cuenta de servicio. Los siguientes tipos de roles conceden acceso a App Engine:
Roles básicos: se aplican a todos los servicios y recursos de un proyecto, incluido App Engine. Por ejemplo, una cuenta con el rol Editor puede cambiar la configuración de App Engine y de Cloud Storage.
Roles predefinidos de App Engine, que proporcionan acceso granular a App Engine. Cada servicio de tu proyecto deGoogle Cloud proporciona sus propios roles predefinidos. Por ejemplo, una cuenta que solo tenga el rol App Engine Deployer puede desplegar aplicaciones de App Engine, pero no puede ver ni crear objetos en Cloud Storage. Esta cuenta también necesitaría un rol predefinido de Cloud Storage específico para crear o ver objetos en Cloud Storage.
Roles personalizados: proporcionan acceso granular según una lista de permisos que especifiques.
Puedes usar roles básicos cuando trabajes en proyectos más pequeños que tengan necesidades menos complejas. Para tener un control de acceso más preciso, usa roles predefinidos.
Roles básicos
Los roles básicos se aplican a todos los servicios y recursos de un proyecto. Por ejemplo, una cuenta con el rol Editor puede cambiar la configuración de App Engine y de Cloud Storage.
| Rol | Permisos de la consolaGoogle Cloud | Permisos de herramientas |
|---|---|---|
Owner |
Se necesita para crear aplicaciones de App Engine. Todos los privilegios de lector y editor, además de la capacidad de ver el código fuente implementado, invitar a usuarios, cambiar los roles de usuario y eliminar una aplicación. | Se necesita para crear aplicaciones de App Engine. También puede implementar código de aplicación y actualizar todas las configuraciones. |
Editor |
Ver la información de la aplicación y editar su configuración. | Desplegar código de aplicación y actualizar índices, colas y crons. |
Viewer |
Ver la información de la aplicación. | Registros de solicitudes |
Roles predefinidos de App Engine
Los roles predefinidos de App Engine te ofrecen opciones más detalladas para el control de acceso.Estos roles solo proporcionan acceso a App Engine. Si tu proyecto incluye otros servicios, como Cloud Storage o Cloud SQL, tendrás que asignar roles adicionales para habilitar el acceso a los demás servicios.
Comparación de los roles predefinidos de App Engine
En la siguiente tabla se ofrece una comparación completa de las funciones de cada rol predefinido de App Engine.
| Competencia | Administrador de App Engine | Administrador de servicios de App Engine | implementador de App Engine | Lector de App Engine | Visor de códigos de App Engine |
|---|---|---|---|---|---|
| Mostrar todos los servicios, versiones e instancias | Sí | Sí | Sí | Sí | Sí |
| Ver todos los ajustes de aplicaciones, servicios, versiones e instancias | Sí | Sí | Sí | Sí | Sí |
| Ver métricas de tiempo de ejecución, como el uso de recursos, la información de carga y la información de errores | Sí | Sí | Sí | Sí | Sí |
| Ver el código fuente de la aplicación | No | No | No | No | Sí |
| Desplegar una nueva versión de una aplicación | Sí, si también le asignas el rol Usuario de cuenta de servicio | No | Sí, si también le asignas el rol Usuario de cuenta de servicio | No | No |
| Dividir o migrar el tráfico | Sí | Sí | No*** | No | No |
| Iniciar y detener una versión | Sí | Sí | No | No | No |
| Eliminar una versión | Sí | Sí | Sí | No | No |
| Eliminar un servicio completo | Sí | Sí | No | No | No |
| Usar SSH para conectarse a una instancia de VM en el entorno flexible | Sí | No | No | No | No |
| Detener una instancia | Sí | No | No | No | No |
| Inhabilitar y volver a habilitar la aplicación de App Engine | Sí | No | No | No | No |
| Gestores de acceso que tienen una restricción login:admin (solo en los tiempos de ejecución de primera generación) | Sí | No | No | No | No |
| Actualizar reglas de envío | Sí | No | No | No | No |
| Actualizar la configuración de DoS | Sí | No | No | No | No |
| Actualizar programaciones cron | No | No | No | No | No |
| Actualizar la caducidad de las cookies predeterminada | Sí | No | No | No | No |
| Actualizar referentes | Sí | No | No | No | No |
| Actualizar remitentes autorizados de la API Email | Sí | No | No | No | No |
Para obtener información sobre los permisos de gestión de identidades y accesos específicos que concede cada rol, consulta la sección Roles de la API Admin.
Rol recomendado para la implementación de aplicaciones
En el caso de una cuenta que solo se encargue de desplegar nuevas versiones de una aplicación, te recomendamos que le asignes los siguientes roles:
- Rol de implementador de App Engine (
roles/appengine.deployer) Rol de usuario de cuenta de servicio (
roles/iam.serviceAccountUser)El rol Usuario de cuenta de servicio permite a la cuenta suplantar a la cuenta de servicio predeterminada de App Engine durante el proceso de implementación.
Si la cuenta usa comandos
gcloudpara implementar, añade también estos roles:- Administrador de objetos de Storage (
roles/storage.objectAdmin) - Editor de versiones de Cloud (
roles/cloudbuild.builds.editor)
- Administrador de objetos de Storage (
Para acceder a los datos almacenados en Datastore o actualizar los índices, habilita el rol Administrador de índices de Cloud Datastore (
roles/datastore.indexAdmin).
Para obtener más información sobre cómo conceder los permisos necesarios, consulta el artículo Crear una cuenta de usuario.
Separación de las tareas de despliegue y enrutamiento del tráfico
Muchas organizaciones prefieren separar la tarea de desplegar una versión de una aplicación de la tarea de aumentar el tráfico a la versión recién creada, así como que estas tareas las realicen diferentes funciones. Los roles de desplegador de App Engine y administrador de servicios de App Engine proporcionan esta separación:
- Roles de implementador de App Engine y usuario de cuenta de servicio: las cuentas solo pueden implementar versiones nuevas y eliminar versiones antiguas que no estén sirviendo tráfico. La cuenta con estos roles no podrá configurar el tráfico a ninguna versión ni cambiar los ajustes a nivel de aplicación, como las reglas de envío o el dominio de autenticación.
- Rol de administrador de servicios de App Engine: las cuentas no pueden desplegar una nueva versión de una aplicación ni cambiar la configuración a nivel de aplicación. Sin embargo, esas cuentas tienen privilegios para cambiar las propiedades de los servicios y las versiones, incluido el cambio de las versiones que pueden servir tráfico. El rol Administrador de servicio de App Engine es ideal para un departamento de Operaciones o TI que se encarga de aumentar el tráfico a las versiones recién desplegadas.
Limitaciones de los roles predefinidos
Ninguno de los roles predefinidos de App Engine concede acceso a lo siguiente:
- Ver y descargar registros de aplicaciones.
- Consulta los gráficos de Monitoring en la Google Cloud consola.
- Habilitar e inhabilitar la facturación.
- Ejecuta análisis de seguridad en Cloud Security Scanner.
- Acceder a la configuración o los datos almacenados en Datastore, Task Queues, Cloud Search o cualquier otro producto de almacenamiento de Cloud Platform.