Conceder acceso a proyectos

Otorga y controla el acceso a tu proyecto de Google Cloud Platform y sus recursos mediante la asignación de funciones. Puedes asignarlas a los miembros del proyecto y a las cuentas de servicio.

Una cuenta de servicio representa una identidad de servicio de Google Cloud, como App Engine, y se puede usar para acceder a otros servicios.

Elegir el control de acceso adecuado

Asigna funciones a miembros del proyecto y cuentas de servicio para definir el grado de acceso al proyecto de GCP. Puedes usar las funciones de administración de identidades y accesos (IAM) para obtener controles de acceso más precisos. Si deseas obtener detalles sobre las distintas funciones de App Engine, consulta Control de acceso.

En general, las funciones básicas de Propietario, Editor y Lector son más fáciles de usar. Sin embargo, las funciones predefinidas tienen opciones más detalladas para el acceso. Si solo experimentas con App Engine, el enfoque más simple para el control de acceso es otorgar la función de Editor a todas las personas involucradas en el proyecto. Para esto, sigue las instrucciones que aparecen más adelante en Configurar permisos. Ten en cuenta que solo un Propietario puede crear aplicaciones de App Engine y agregar otras personas al proyecto.

Cuando el proyecto esté listo para funciones más complejas, sigue estos pasos:

  1. Identifica todas las funciones de trabajo diferentes que necesitan acceso al proyecto.

  2. Configura un grupo de Google para cada una de estas funciones de trabajo.

  3. Agrega miembros a cada grupo de Google según lo desees.

  4. Sigue las instrucciones en configurar permisos a continuación para agregar cada grupo de Google como miembro del proyecto y establecer las funciones en cada grupo.

Configurar permisos

Para agregar un miembro al proyecto y establecer permisos, sigue estos pasos:

  1. En Google Cloud Platform Console, visita la página de permisos de administrador y de IAM del proyecto.

    Ir a la página de permisos de administrador y de IAM

  2. Haz clic en Agregar miembro para incorporar miembros nuevos al proyecto y establecer sus funciones mediante el menú desplegable. Puedes agregar el correo electrónico individual de un usuario o, si usas los Grupos de Google para administrar las funciones de los grupos, puedes proporcionar el correo electrónico de un Grupo de Google (example-google-group@googlegroups.com).

    Agregar un grupo

  3. Asigna una función.

Para ver las descripciones y una matriz de comparación de todas las funciones de App Engine, y leer acerca de las limitaciones, consulta Control de acceso.

Hay funciones diferentes en el menú desplegable que se aplican a otros productos de Google Cloud Platform. Para obtener más información sobre estas funciones, consulta Funciones predefinidas.

Implementar con las funciones de IAM

Puedes otorgar la capacidad de implementar versiones nuevas de aplicaciones en el proyecto de GCP mediante la asignación de las funciones de IAM adecuadas para una cuenta de usuario.

La función de Implementador de App Engine se recomienda para una cuenta de usuario que solo es responsable de implementar aplicaciones. La función de Administrador de App Engine también puede implementar aplicaciones, pero incluye privilegios adicionales. Como se explica a continuación, es posible que necesites otorgar funciones adicionales a una cuenta según los archivos de configuración que se deban implementar.

Configurar tráfico

De forma predeterminada, una cuenta de usuario con la función de Implementador de App Engine no puede migrar o dividir el tráfico a ninguna versión de una aplicación. Sin embargo, si una implementación se orienta a una versión existente que actualmente entrega tráfico, la versión actualizada de esa aplicación conservará la configuración de tráfico original de la versión sobrescrita.

Por ejemplo, si la versión 20201155example actualmente entrega tráfico a la aplicación, cuando ejecutes el comando gcloud app deploy --version 20201155example, la versión actualizada reemplazará la versión existente y comenzará a procesar el tráfico.

Si una cuenta de usuario debe ser responsable de configurar el tráfico, puedes usar la función de Administrador de App Engine o Administrador de servicio de App Engine.

Antes de comenzar

Antes de que una cuenta de usuario pueda implementar aplicaciones mediante una función de IAM:

Para otorgar a una cuenta de usuario la capacidad de implementar en App Engine, sigue estos pasos:

  1. En Google Cloud Platform Console, visita la página de permisos de administrador y de IAM del proyecto:

    Ir a la página de Permisos

  2. Haz clic en Agregar miembro para agregar la cuenta de usuario al proyecto y selecciona todas las funciones asignadas a esa cuenta con el menú desplegable:

    • A fin de establecer las funciones obligatorias para permitir que una cuenta implemente en App Engine:
      1. Configura una de las siguientes funciones:
        • Usa la función de App Engine > Implementador de App Engine para permitir que la cuenta implemente una versión de una aplicación.
        • Si también deseas permitir que los archivos dos.yaml o dispatch.yaml se implementen con una aplicación, usa la función App Engine > administrador de App Engine.
        La cuenta de usuario ahora tiene el permiso adecuado para implementar aplicaciones con la API de Administrador.
      2. Si quieres permitir el uso de las herramientas o complementos de App Engine para implementar aplicaciones, también debes otorgar a la cuenta de usuario la función de Almacenamiento > Administrador de almacenamiento de modo que las herramientas tengan permiso para subir a Cloud Storage.
    • Opcional. Puedes otorgar a la cuenta de usuario las siguientes funciones que conceden permiso para subir archivos de configuración adicionales:
      • Datastore > Función de administrador de índices de Datastore: Permisos para subir archivos index.yaml.
      • Cloud Scheduler > Función de administrador de Cloud Scheduler: Permisos para subir archivos cron.yaml.
      • Cloud Tasks > Función administrador de tareas en cola de Cloud: permisos para subir archivos queue.yaml.

La cuenta de usuario ahora puede implementar aplicaciones en la aplicación App Engine en el proyecto de GCP asociado. Para obtener detalles sobre cómo implementar aplicaciones, consulta Implementar la aplicación.

Si configuraste los permisos como se indicó anteriormente, pero las cuentas siguen sin poder implementar aplicaciones, debes verificar que se haya creado la aplicación de App Engine.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Entorno estándar de App Engine para Java