授予專案存取權

指派角色可授予和控制 Google Cloud Platform 專案及其資源的存取權。您可以指派專案成員和服務帳戶的角色。

服務帳戶代表 Google Cloud 服務身分,例如 App Engine,可用來存取其他服務。

選擇適合的存取權控管

指派專案成員和服務帳戶的角色,以利定義 GCP 專案的存取權層級。您可利用身分與存取權管理 (IAM) 角色,執行更精細的存取權控管。如要進一步瞭解各種 App Engine 角色,請參閱存取權控管

一般而言,原始角色「擁有者」、「編輯者」和「檢視者」使用起來更簡單,但預先定義的角色具有更完善的存取權選項。如果您剛使用 App Engine 進行實驗,則要存取權控管時,最簡單的方式就是將「編輯者」角色授予專案的所有相關人員。操作說明請參閱下方的設定權限中的說明。請記住,只有「擁有者」可以在專案中建立 App Engine 應用程式,以及在專案中新增其他人員。

如果專案已準備好採用更複雜的角色:

  1. 識別需要存取專案的各種不同工作職務。

  2. 依據不同的工作職務,設定 Google 網路論壇

  3. 視需要在各個 Google 網路論壇新增成員。

  4. 依照下方設定權限中的操作說明,將各個 Google 網路論壇新增為專案成員,並設定每個群組的角色。

設定權限

如何新增專案成員及設定權限:

  1. 在 Google Cloud Platform 主控台中,造訪專案的「IAM & Admin」(IAM 與管理員) 權限頁面。

    前往「IAM & Admin」(IAM 與管理員) 權限頁面

  2. 按一下 [Add member] (新增成員),以在專案中新增成員,並使用下拉式選單設定這些成員的角色。您可以新增個別使用者的電子郵件地址;如果您使用 Google 群組管理群組角色,也可以提供 Google 群組電子郵件地址 (example-google-group@googlegroups.com)。

    「Add members」(新增成員) 螢幕擷圖

  3. 指派角色。

如果要查看所有 App Engine 角色的說明和比較表,以及瞭解限制的相關資訊,請前往存取權控管

下拉式選單中還有適用於其他 Google Cloud Platform 產品的角色。如要進一步瞭解這些角色,請參閱預先定義的角色

使用 IAM 角色進行部署

您可以指派適當的 IAM 角色給使用者帳戶,藉此授予 GCP 專案部署新版應用程式的權限。

如果使用者帳戶僅負責部署應用程式,建議指派「App Engine 部署者」角色給該帳戶。「App Engine 管理員角色」也可以部署應用程式,但還可以有擁有其他權限。依據必須部署的設定檔,您可能還需要依照下列步驟的說明,將其他角色授予帳戶。

設定流量

根據預設,具有 App Engine 部署者角色的使用者帳戶,不能將流量遷移或拆分給任何版本的應用程式。不過,如果部署作業鎖定目前提供流量的版本,則該應用程式的更新版本將保留遭覆寫版本的原始流量設定。

舉例來說,如果 20201155example 版本目前在您的應用程式中提供流量,則當您執行 gcloud app deploy --version 20201155example 指令時,更新版本會先覆寫現有版本,再開始提供流量。

如果使用者帳戶負責設定流量,請考慮使用 App Engine 管理員或 App Engine 服務管理員角色

事前準備

使用者帳戶必須先完成以下操作,才能以 IAM 角色部署應用程式:

如要授予使用者帳戶部署至 App Engine 的權限:

  1. 在 Google Cloud Platform 主控台中,造訪專案的「IAM & Admin」(IAM 與管理員) 權限頁面:

    前往「權限」頁面

  2. 按一下 [Add member] (新增成員),在專案中新增使用者帳戶,然後使用下拉式選單選取該帳戶的所有角色:

    • 必要角色可讓帳戶在 App Engine 中執行部署:
      1. 設定下列其中一個角色:
        • 使用 [App Engine] > [App Engine Deployer] (App Engine 部署者) 角色,授予帳戶部署任一應用程式版本的權限。
        • 如要隨著應用程式一併部署 dos.yamldispatch.yaml 檔案,請改用 [App Engine] > [App Engine Admin] (App Engine 管理員) 角色
        使用者帳戶現在具有充分權限,可使用 Admin API 部署應用程式
      2. 如要允許使用 App Engine 工具部署應用程式,您也必須將 [Storage] > [Storage Admin] (Storage 管理員) 角色指派給使用者帳戶,這樣工具才有上傳至 Cloud Storage 的權限。
    • 選用。指派下列角色到使用者帳戶,以授予上傳其他設定檔的權限:
      • [Datastore] > [Datastore Index Admin] (Datastore 索引管理員) 角色:上傳 index.yaml 檔案的權限。
      • [Cloud Scheduler] > [Cloud Scheduler Admin] (Cloud Scheduler 管理員) 角色:上傳 cron.yaml 檔案的權限。
      • [Cloud Tasks] > [Cloud Tasks Queue Admin] (Cloud Tasks 佇列管理員) 角色:上傳 queue.yaml 檔案的權限。

使用者帳戶現在可以在關聯的 GCP 專案中,部署應用程式至 App Engine 應用程式了。如要進一步瞭解如何部署應用程式,請參閱部署您的應用程式

如果您已按照上述操作說明設定權限,但帳戶仍然無法部署應用程式,請檢查是否已建立 App Engine 應用程式

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Python 2 適用的 App Engine 標準環境