Cómo conceder acceso a proyectos

La asignación de funciones te permitirá conceder y controlar el acceso a tu proyecto de Google Cloud Platform y sus recursos. Puedes asignar funciones a los miembros del proyecto y a cuentas de servicio.

Una cuenta de servicio representa una identidad de servicio de Google Cloud como App Engine y se puede usar para acceder a otros servicios.

Cómo elegir el control de acceso correcto

Asigna funciones a los miembros del proyecto y a cuentas de servicio para definir el grado de acceso a tu proyecto de GCP. Puedes usar funciones de administración de identidades y accesos (IAM) para tener controles de acceso más personalizados. Para obtener más detalles sobre todas las funciones de App Engine, consulta Control de acceso.

En general, las funciones básicas de propietario, editor y lector son muy fáciles de usar, pero las funciones predefinidas tienen opciones más precisas para el acceso. Si solo experimentas con App Engine, el enfoque más simple para controlar el acceso es concederles la función de editor a todas las personas involucradas en el proyecto. Para esto, sigue las instrucciones que aparecen a continuación en Cómo configurar permisos. Ten en cuenta que solo un propietario puede crear aplicaciones de App Engine y agregar a otras personas a este.

Cuando tu proyecto esté listo para ejecutar funciones más complejas, sigue estos pasos:

  1. Identifica todas las funciones de trabajo diferentes que necesiten acceso al proyecto.

  2. Configura un Grupo de Google por cada una de estas funciones de trabajo.

  3. Agrega miembros a cada Grupo de Google según lo desees.

  4. Sigue las instrucciones en Cómo configurar permisos para agregar a cada Grupo de Google como miembro del proyecto y establece las funciones de cada grupo.

Cómo configurar permisos

Para agregar a un miembro del proyecto y configurar permisos, haz lo siguiente:

  1. En Google Cloud Platform Console, visita la página "IAM y permisos del administrador" de tu proyecto.

    Ir a la página "IAM y permisos del administrador"

  2. Haz clic en Agregar miembro para agregar miembros nuevos al proyecto y configura sus funciones con el menú desplegable. Puedes agregar el correo electrónico individual de un usuario o, si usas los Grupos de Google para administrar las funciones de los grupos, puedes proporcionar el correo electrónico de un Grupo de Google (example-google-group@googlegroups.com).

    Agrega un grupo

  3. Asigna una función.

Para ver las descripciones y una matriz de comparación de todas las funciones de App Engine y leer sobre las limitaciones, ve a Control de acceso.

Hay otras funciones en el menú desplegable que se aplican a otros productos de Google Cloud Platform. Si quieres obtener más información sobre estas funciones, consulta Funciones predefinidas.

Cómo implementar con funciones de IAM

Para conceder la capacidad de implementar versiones nuevas de las aplicaciones en tu proyecto de GCP, asigna las funciones de IAM adecuadas a una cuenta de usuario

La función de implementador de App Engine se recomienda para una cuenta de usuario que solo es responsable de implementar aplicaciones. La función de administrador de App Engine también puede implementar aplicaciones y ofrece ventajas adicionales. Puede que también necesites conceder funciones adicionales a una cuenta como se explica en los pasos siguientes. Todo depende de cuáles sean los archivos de configuración que se deben implementar.

Cómo configurar el tráfico

De manera predeterminada, una cuenta de usuario con la función de implementador no puede migrar o dividir tráfico a ninguna versión de una aplicación. Sin embargo, si una implementación se orienta a una versión existente que en la actualidad entrega tráfico, la versión actualizada de esa aplicación retendrá la configuración de tráfico original de la versión sobrescrita.

Por ejemplo, si la versión 20201155example procesa tráfico en tu aplicación por el momento, cuando ejecutes el comando gcloud app deploy --version 20201155example, la versión actualizada reemplazará a la versión existente y comenzará a entregar el tráfico.

Si una cuenta de usuario se debe responsabilizar de configurar el tráfico, considera usar la función de administrador de App Engine o la función de administrador de servicios de App Engine.

Antes de comenzar

Antes de que cualquier cuenta de usuario use una función de IAM para implementar una aplicación, se debe tener en cuenta lo siguiente:

Para otorgar a una cuenta de usuario la capacidad de implementar en App Engine, sigue estos pasos:

  1. En Google Cloud Platform Console, visita la página "IAM y permisos del administrador" de tu proyecto.

    Ir a la página Permisos

  2. Haz clic en Agregar miembro para agregar la cuenta de usuario al proyecto y, luego, en el menú desplegable, selecciona todas las funciones para esa cuenta:

    • A fin de establecer las funciones obligatorias para permitir que una cuenta implemente en App Engine:
      1. Configura la función Container Builder > editor de Cloud Build y una de las funciones a continuación:
        • Usa la función App Engine > implementador de App Engine para permitir que la cuenta implemente una versión de la aplicación.
        • Si también deseas permitir que los archivos dos.yaml o dispatch.yaml se implementen con una aplicación, usa la función App Engine > administrador de App Engine.
        La cuenta de usuario ahora tiene el permiso de usar la API de administrador para implementar aplicaciones.
      2. A fin de permitir el uso de las herramientas de App Engine para implementar aplicaciones, también debes dar a la cuenta de usuario la función Almacenamiento > administrador de almacenamiento de forma que las herramientas tengan permiso de subir a Cloud Storage.
    • Opcional: Dale las funciones siguientes a la cuenta de usuario a fin de concederle permiso para subir archivos de configuración adicionales:
      • Datastore > Función administrador de índice del almacén de datos: permisos para subir archivos index.yaml.
      • Cloud Scheduler > Función administrador de Cloud Scheduler: permisos para subir archivos cron.yaml.
      • Cloud Tasks > Función administrador de tareas en cola de Cloud: permisos para subir archivos queue.yaml.

La cuenta de usuario ahora puede implementar aplicaciones en la aplicación de App Engine del proyecto de GCP asociado. Si quieres obtener más detalles sobre cómo implementar aplicaciones, consulta Cómo implementar tu aplicación.

Si configuraste los permisos como se indicó antes, pero las cuentas todavía no pueden implementar aplicaciones, verifica que se haya creado la aplicación de App Engine.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Entorno de App Engine Standard para documentos PHP 7.2