Concede acceso a proyectos

Otorga y controla el acceso a tu proyecto de Google Cloud Platform y sus recursos mediante la asignación de funciones. Puedes asignarlas a los miembros del proyecto y a las cuentas de servicio.

Una cuenta de servicio representa una identidad de servicio de Google Cloud, como App Engine, y se puede usar para acceder a otros servicios.

Cómo elegir el control de acceso adecuado

Asigna funciones a miembros del proyecto y cuentas de servicio para definir el grado de acceso a tu proyecto de GCP. Puedes usar las funciones de administración de identidades y accesos (IAM) para obtener controles de acceso más precisos. Para obtener detalles sobre las distintas funciones de App Engine, consulta Control de acceso.

En general, las funciones básicas de Propietario, Editor y Lector son más fáciles de usar. Sin embargo, las funciones predefinidas tienen opciones más detalladas para el acceso. Si solo experimentas con App Engine, el enfoque más simple para el control de acceso es otorgar la función de Editor a todas las personas involucradas con el proyecto. Para esto, sigue las instrucciones a continuación en Configura los permisos. Ten en cuenta que solo un propietario puede crear aplicaciones de App Engine y agregar a otras personas al proyecto.

Cuando tu proyecto esté listo para funciones más complejas, sigue estos pasos:

  1. Identifica todas las funciones de trabajo diferentes que necesitan acceso al proyecto.

  2. Configura un Grupo de Google para cada una de estas funciones de trabajo.

  3. Agrega miembros a cada Grupo de Google como desees.

  4. Sigue las instrucciones que aparecen en Configura los permisos a continuación para agregar cada Grupo de Google como miembro del proyecto y establecer las funciones en cada grupo.

Configura los permisos

Para agregar un miembro del proyecto y establecer permisos, sigue estos pasos:

  1. En Google Cloud Platform Console, visita la página de permisos de IAM y administración para tu proyecto.

    Ir a la página de permisos de IAM y administración

  2. Haz clic en Agregar miembro para incorporar miembros nuevos al proyecto y establecer sus funciones mediante el menú desplegable. Puedes agregar un correo electrónico de usuario individual o, si usas Grupos de Google para administrar las funciones de grupo, puedes proporcionar un correo electrónico de Grupo de Google (example-google-group@googlegroups.com).

    Captura de pantalla de Agregar miembros

  3. Asigna una función.

Para ver las descripciones y una matriz de comparación de todas las funciones de App Engine, y leer acerca de las limitaciones, consulta Control de acceso.

Hay funciones diferentes en el menú desplegable que se aplican a otros productos de Google Cloud Platform. Para obtener más información sobre estas funciones, consulta Funciones predefinidas.

Implementa con las funciones de IAM

Puedes otorgar la capacidad de implementar versiones nuevas de aplicaciones en tu proyecto de GCP mediante la asignación de las funciones de IAM adecuadas a una cuenta de usuario.

La función de Implementador de App Engine es la recomendada para una cuenta de usuario que solo es responsable de implementar aplicaciones. Las aplicaciones también pueden implementarse mediante la función de administrador de App Engine, pero esta permite privilegios adicionales. Como se explica en los pasos a continuación, según los archivos de configuración que se deban implementar, es posible que también necesites otorgar funciones adicionales a una cuenta.

Configura el tráfico

De forma predeterminada, una cuenta de usuario con la función de implementador de App Engine no puede migrar o dividir el tráfico hacia ninguna versión de una aplicación. Sin embargo, si una implementación se orienta a una versión existente que actualmente entrega el tráfico, la versión actualizada de esa aplicación conservará la configuración de tráfico original de la versión sobrescrita.

Por ejemplo, si la versión 20201155example entrega actualmente el tráfico en tu aplicación, cuando ejecutes el comando gcloud app deploy --version 20201155example, la versión actualizada sobrescribirá la versión existente y luego comenzará a entregar el tráfico.

Si una cuenta de usuario fuera responsable de configurar el tráfico, considera usar la función de Administrador de App Engine o Administrador de servicios de App Engine.

Antes de comenzar

Antes de que una cuenta de usuario pueda implementar aplicaciones mediante el uso de una función de IAM:

Para otorgar a una cuenta de usuario la capacidad de implementar en App Engine, sigue estos pasos:

  1. En Google Cloud Platform Console, visita la página de permisos de IAM y administración para tu proyecto:

    Ir a la página Permisos

  2. Haz clic en Agregar miembro para incorporar la cuenta de usuario al proyecto y, luego, selecciona todas las funciones de esa cuenta mediante el menú desplegable:

    • Funciones obligatorias para permitir que una cuenta se implemente en App Engine:
      1. Configura una de las siguientes funciones:
        • Usa la función App Engine > Implementador de App Engine para permitir que la cuenta implemente una versión de una aplicación.
        • Para permitir que los archivos dos.yaml o dispatch.yaml también se implementen con una app, usa en su lugar la función App Engine > Administrador de App Engine.
        La cuenta de usuario ahora tiene el permiso adecuado para implementar aplicaciones con la API de Administrador.
      2. Si quieres permitir el uso de las herramientas o complementos de App Engine para implementar apps, también debes otorgar a la cuenta de usuario la función Almacenamiento > Administrador de almacenamiento, de modo que las herramientas tengan permiso para subir a Cloud Storage.
    • Opcional. Puedes otorgar a la cuenta de usuario las siguientes funciones que conceden permiso para subir archivos de configuración adicionales:
      • Función Datastore > Administrador de índice del almacén de datos: Permisos para subir archivos index.yaml
      • Función Cloud Scheduler > Administrador de Cloud Scheduler: Permisos para subir archivos cron.yaml
      • Función Cloud Tasks > Administrador de listas de tareas en cola de Cloud: Permisos para subir archivos queue.yaml

La cuenta de usuario ahora puede implementar aplicaciones en la aplicación de App Engine en el proyecto de GCP asociado. Para obtener detalles sobre cómo implementar aplicaciones, consulta Implementa la app.

Si configuraste los permisos como se indicó antes, pero las cuentas siguen sin poder implementar apps, debes verificar que se haya creado la aplicación de App Engine.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Entorno estándar de App Engine para Java 8