Questa pagina è stata tradotta dall'API Cloud Translation.

Concedere e revocare l'accesso all'API

OpenAPI | gRPC

Controllare chi ha accesso a un'API è parte integrante dello sviluppo. Ad esempio, durante il test dell'API, potresti voler automatizzare il redeployment delle configurazioni di Cloud Endpoints aggiornate utilizzando un account di servizio che abbia l'autorizzazione per farlo. Per impostazione predefinita, solo il proprietario del progetto può gestire l'accesso a un'API. Questa pagina mostra come concedere e revocare l'accesso all'API utilizzando il metodo console Google Cloud o Google Cloud CLI.

Endpoint utilizza Identity and Access Management ruoli per concedere e revocare l'accesso a livello di API. Puoi concedere e revocare l'accesso a un utente, a un account di servizio o a un gruppo Google.

Google Gruppi è un modo pratico per concedere o revocare l'accesso a una raccolta di utenti. Puoi concedere o revocare l'accesso per un intero gruppo contemporaneamente, anziché la concessione o la revoca dell'accesso uno alla volta per singoli utenti o servizi . Puoi anche aggiungere e rimuovere membri da una gruppo Google invece di concedere o revocare il ruolo IAM per ogni membro.

Concedere l'accesso

Console Google Cloud

Nella console Google Cloud, vai alla pagina Endpoints > Servizi per il tuo progetto.
Vai alla pagina dei servizi Endpoints
Se disponi di più API, fai clic sul nome.
Se il riquadro laterale Autorizzazioni non è aperto, fai clic su Autorizzazioni.
Nella casella Aggiungi membri, inserisci l'indirizzo email di un utente, del servizio account o un gruppo Google.
Nell'elenco a discesa Seleziona un ruolo, fai clic su Gestione servizi e seleziona uno dei seguenti ruoli:
- Consumer servizi: questo ruolo contiene le autorizzazioni per consentire a un utente non appartenente al progetto di visualizzare e attivare l'API nel proprio progetto. Se hai creato un portal per il tuo API, questo ruolo consente agli utenti API di accedere al portale.
- Service Controller: questo ruolo contiene le autorizzazioni per effettuare chiamate ai metodi check e report nell'API Service Infrastructure durante il runtime.
- Editor configurazione servizio: questo ruolo contiene le autorizzazioni minime. richiesto da Service Management per eseguire il deployment configurazione a un servizio esistente.
- Amministratore di gestione dei servizi: questo ruolo contiene le autorizzazioni dei ruoli Editor di configurazione del servizio, Consumatore di servizi e Controllore di servizi, oltre alle autorizzazioni necessarie per concedere l'accesso a questa API utilizzando gcloud o i metodi programmatici descritti in Concessione, modifica e revoca dell'accesso alle risorse.
Vedi il controllo dell'accesso all'API Service Management per informazioni su questo ruolo. Anche se la console Google Cloud ti consente di selezionare altri ruoli, non sono utili per gestire l'API.
Per aggiungere il membro al ruolo IAM specificato, fai clic su Aggiungi.
Ripeti l'aggiunta di membri e la selezione del ruolo, se necessario.
I ruoli di gestione dei servizi non consentono agli utenti di accedere alla pagina Endpoints > Servizi nella console Google Cloud. Se vuoi che gli utenti siano possono accedere agli Endpoint > Servizi, devi concedere al cliente Visualizzatore progetto o un ruolo superiore nel progetto. Consulta: Concedere, cambiare e la revoca dell'accesso alle risorse per maggiori dettagli.

gcloud

Apri Cloud Shell oppure, se hai installato Google Cloud CLI, apri una finestra del terminale.

Inserisci il comando gcloud applicabile:

Se stai concedendo l'accesso a un utente, esegui quanto segue:
```
gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
  --member='user:[EMAIL-ADDRESS]' \
  --role='[ROLE]'
```
Per il ruolo, specifica uno dei seguenti ruoli IAM:
- roles/servicemanagement.configEditor: questo ruolo contiene le autorizzazioni minime richieste da Service Management per eseguire il deployment di una configurazione di Endpoints in un servizio esistente.
- roles/servicemanagement.admin: questo ruolo contiene le autorizzazioni in roles/servicemanagement.configEditor, roles/servicemanagement.serviceConsumer e roles/servicemanagement.serviceController, oltre alle autorizzazioni necessarie per concedere l'accesso a questa API utilizzando gcloud o i metodi programmatici descritti in Concessione, modifica e revoca dell'accesso alle risorse.
Ad esempio:
```
gcloud endpoints services add-iam-policy-binding example-service-name \
  --member='user:example-user@gmail.com' \
  --role='roles/servicemanagement.admin'
```

Se concedi l'accesso a un account di servizio, esegui quanto segue:

gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
  --member='serviceAccount:[EMAIL-ADDRESS]' \
  --role='[ROLE]'

Ad esempio:

gcloud endpoints services add-iam-policy-binding example-service-name \
  --member='serviceAccount:example-service-account@example-project.iam.gserviceaccount.com' \
  --role='roles/servicemanagement.configEditor'

Se stai concedendo l'accesso a un gruppo Google, esegui questo comando:

gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
  --member='group:[GROUP-NAME]@googlegroups.com' \
  --role='[ROLE]'

Ad esempio:

gcloud endpoints services add-iam-policy-binding example-service-name \
  --member='group:example-group@googlegroups.com' \
  --role='roles/servicemanagement.configEditor'

I ruoli Service Management non consentono agli utenti di accedere Endpoint > la pagina Servizi nella console Google Cloud. Se vuoi che gli utenti possano accedere agli Endpoint > Servizi, deve concedere Visualizzatore progetto o un ruolo superiore nel progetto. Consulta: Concedere, cambiare e la revoca dell'accesso alle risorse per maggiori dettagli.

Revocare l'accesso

Per revocare l'accesso all'API, rimuovi il ruolo IAM dal membro che in precedenza ha ricoperto il ruolo.

Passaggi successivi

Scopri di più su:

Creazione di un account di servizio
Comandi gcloud a cui si fa riferimento in questa pagina.