Controlar quién puede habilitar tu API

Las claves de API están asociadas al Google Cloud proyecto en el que se han creado. Si tu API requiere una clave de API, debes proporcionar a los usuarios de la API una clave del proyecto en el que creaste el servicio Cloud Endpoints o permitir que los usuarios habiliten tu API en su propio proyecto y creen una clave de API. Google CloudEn esta página se explica cómo conceder el permiso que necesitan los usuarios para habilitar tu API.

Conceder acceso

Endpoints usa el rol Consumidor de servicios de Gestión de Identidades y Accesos (IAM) para permitir que alguien que no sea miembro de tu proyectoGoogle Cloud Google Cloudhabilite tu API en su propio proyecto. En esta sección se muestra cómo conceder acceso mediante la consola deGoogle Cloud o la CLI de Google Cloud.

Google Cloud consola

  1. En la Google Cloud consola, ve a la página Endpoints > Services de tu proyecto.

    Ir a la página Servicios de Endpoints

  2. Si tienes más de una API, haz clic en el nombre de la API a la que quieras conceder acceso.
  3. Si el panel lateral Permisos no está abierto, haz clic en Mostrar panel de permisos.
  4. En el campo Añadir principal, introduce la dirección de correo de la persona o del grupo de Google al que quieras dar acceso.
  5. En el menú desplegable Seleccionar un rol, selecciona Gestión de servicios > Consumidor de servicios.
  6. Haz clic en Guardar.
  7. Repite el proceso de añadir miembros y seleccionar el rol según sea necesario.
  8. Ponte en contacto con los usuarios o grupos que hayas añadido e infórmales de que pueden habilitar la API en sus Google Cloud proyectos. Consulta el artículo sobre cómo habilitar una API en tu proyecto Google Cloud para obtener información sobre cómo habilitar un servicio en APIs y servicios.

gcloud

  1. Abre Cloud Shell o, si tienes instalado Google Cloud CLI, abre una ventana de terminal.
    • Si vas a conceder acceso a un usuario concreto, sigue estos pasos: 
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
      --member='user:EMAIL-NAME@gmail.com' \
      --role='roles/servicemanagement.serviceConsumer'
    • Si vas a conceder acceso a un grupo de Google: 
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
      --member='group:GROUP-NAME@googlegroups.com' \
      --role='roles/servicemanagement.serviceConsumer'
  2. Ponte en contacto con los usuarios o grupos que hayas añadido e infórmales de que pueden habilitar la API en sus Google Cloud proyectos. Consulta el artículo sobre cómo habilitar una API en tu proyecto Google Cloud para obtener información sobre cómo habilitar un servicio en APIs y servicios.

Revocar el acceso

Para revocar el acceso a tu API, debes quitar el rol Consumidor de servicios a un usuario o grupo que lo tuviera anteriormente. Una vez que hayas revocado el acceso de alguien, no podrá habilitar tu API.

En esta sección se explica cómo revocar el acceso mediante la consola o la CLI de Google Cloud. Google Cloud

Google Cloud consola

  1. En la Google Cloud consola, ve a la página Endpoints > Services de tu proyecto de Google Cloud .

    Ir a la página Servicios de Endpoints

  2. Si tienes más de una API, haz clic en el nombre de la API a la que quieras revocar el acceso.
  3. Si el panel lateral Permisos no está abierto, haz clic en Permisos.
  4. Haz clic en la tarjeta Rol al que pertenece el miembro.
  5. Haz clic en Eliminar .

gcloud

  • Si vas a revocar el acceso de un usuario concreto, sigue estos pasos: 
    gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
      --member='user:'EMAIL-NAME@gmail.com' --role='roles/servicemanagement.serviceConsumer'
  • Si vas a revocar el acceso de un grupo de Google: 
    gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
      --member='group:GROUP-NAME@googlegroups.com' \
      --role='roles/servicemanagement.serviceConsumer'

Siguientes pasos