Como conceder acesso ao projeto

Conceda e controle acesso ao projeto e aos recursos do Google Cloud Platform atribuindo papéis. É possível atribuir papéis aos membros do projeto e às contas de serviço.

Uma conta de serviço representa uma identidade de serviço do Google Cloud, como o App Engine, e pode ser usada para acessar outros serviços.

Como escolher o controle de acesso certo

Atribua papéis aos membros do projeto e às contas de serviço para definir o grau de acesso ao projeto do GCP. É possível usar os papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês) para controles de acesso mais refinados. Para detalhes sobre os vários papéis do App Engine, consulte Controle de acesso.

Em geral, os papéis primários Proprietário, Editor e Leitor são mais simples de usar. No entanto, os papéis predefinidos têm opções de acesso mais refinadas. Se você ainda está apenas começando no App Engine, a abordagem mais simples para o controle de acesso é conceder o papel Editor a todas as pessoas envolvidas no projeto seguindo as instruções abaixo em Como definir permissões. É importante lembrar que apenas um Proprietário pode criar aplicativos do App Engine no projeto e adicionar outras pessoas a ele.

Quando o projeto estiver pronto para papéis mais complexos:

  1. Identifique todos os cargos diferentes que precisam de acesso ao projeto.

  2. Configure um grupo do Google para cada um desses cargos.

  3. Adicione membros conforme desejado a cada grupo do Google.

  4. Siga as instruções abaixo sobre como definir as permissões para adicionar cada grupo do Google como membro do projeto e, depois, definir o papel de cada grupo.

Como definir permissões

Para adicionar um membro do projeto e definir permissões:

  1. No console do Google Cloud Platform, acesse a página "Permissões de IAM e administrador" do projeto.

    Acesse a página "Permissões de IAM e administrador"

  2. Clique em Adicionar membro para adicionar novos membros ao projeto e configurar os respectivos papéis usando o menu suspenso. Adicione um e-mail de usuário individual ou, se você usa Grupos do Google para gerenciar papéis de grupo, forneça um e-mail desse serviço, como example-google-group@googlegroups.com.

    Captura de tela "Adicionar membros"

  3. Atribua um papel.

Para consultar descrições e uma matriz de comparação entre todos os papéis do App Engine, além de saber mais sobre limitações, entre em Controle de acesso.

Existem outros papéis no menu suspenso que se aplicam a outros produtos do Google Cloud Platform. Para mais informações sobre esses papéis, consulte Papéis predefinidos.

Como implantar usando papéis do IAM

Você pode conceder a capacidade de implantar novas versões de apps no projeto do GCP atribuindo os papéis apropriados do IAM a uma conta de usuário.

O papel de implantador do App Engine é recomendado para uma conta de usuário responsável apenas por implantar apps. O papel de administrador do App Engine também pode implantar apps, mas concede privilégios adicionais. Dependendo dos arquivos de configuração que precisam ser implantados, talvez também seja necessário conceder papéis adicionais a uma conta, conforme explicado nas etapas abaixo.

Como configurar tráfego

Por padrão, uma conta de usuário com o papel de implantador do App Engine não tem permissão para migrar nem dividir tráfego para qualquer versão de um app. No entanto, se o destino de uma implantação for uma versão existente que esteja atualmente veiculando tráfego, a versão atualizada desse app manterá as configurações originais de tráfego da versão substituída.

Por exemplo, se a versão 20201155example estiver veiculando tráfego no app, quando você executar o comando gcloud app deploy --version 20201155example, a versão atualizada substituirá a existente e começará a veicular o tráfego.

Se uma conta de usuário for responsável pela configuração do tráfego, considere usar o papel de administrador do App Engine ou de administrador de serviços do App Engine.

Antes de começar

Para uma conta de usuário implantar apps usando um papel do IAM:

Para conceder a uma conta de usuário a capacidade de implantar no App Engine:

  1. No Console do Google Cloud Platform, acesse a página "Permissões de IAM e administrador" do projeto.

    Acessar a página "Permissões"

  2. Clique em Adicionar membro para adicionar a conta de usuário ao projeto e selecione todos os papéis dessa conta usando o menu suspenso:

    • Papéis obrigatórios para permitir que uma conta implante no App Engine:
      1. Atribua um dos seguintes papéis:
        • Use o papel App Engine > Implantador do App Engine para permitir que a conta implante uma versão de um aplicativo.
        • Para também permitir que os arquivos dos.yaml ou dispatch.yaml sejam implantados com um aplicativo, use o papel App Engine > Administrador do App Engine.
        A conta de usuário tem a permissão adequada para usar a API Admin para implantar aplicativos.
      2. Para permitir o uso de ferramentas do App Engine na implantação de aplicativos, conceda à conta de usuário o papel Storage > Administrador do Storage. Assim, as ferramentas terão permissão para fazer upload no Cloud Storage.
    • Opcional. Atribua os seguintes papéis à conta de usuário, a fim de conceder permissão para fazer upload de outros arquivos de configuração:
      • Papel Datastore > Administrador de índice do Datastore: permissões para fazer upload de arquivos index.yaml
      • Papel Cloud Scheduler > Administrador do Cloud Scheduler: permissões para fazer upload de arquivos cron.yaml
      • Papel Cloud Tasks > Administrador de filas do Cloud Tasks: permissões para fazer upload de arquivos queue.yaml

A conta de usuário agora pode implantar aplicativos no aplicativo do App Engine no projeto do GCP associado. Para detalhes sobre como implantar apps, consulte Como implantar o app.

Se você tiver configurado permissões conforme orientado acima, mas ainda assim não conseguir implantar aplicativos com as contas, será necessário verificar se o aplicativo App Engine foi criado.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Ambiente padrão do App Engine para Python 2