Il controllo di chi ha accesso a un'API è parte integrante dello sviluppo. Ad esempio, durante il test dell'API, potresti voler automatizzare il redeployment delle configurazioni di Cloud Endpoints aggiornate utilizzando un account di servizio che abbia l'autorizzazione per farlo. Per impostazione predefinita, solo il proprietario del progetto può gestire l'accesso a un'API. Questa pagina mostra come concedere e revocare l'accesso all'API utilizzando la console Google Cloud o Google Cloud CLI.
Gli endpoint utilizzano i ruoli di Identity and Access Management per concedere e revocare l'accesso a livello di API. Puoi concedere e revocare
l'accesso a un utente, a un account di servizio o a un
gruppo Google.
Google Gruppi è un modo pratico per concedere o revocare l'accesso a una raccolta di
utenti. Puoi concedere o revocare l'accesso a un intero gruppo contemporaneamente, anziché concederlo o revocarlo uno alla volta per singoli utenti o account di servizio. Puoi anche aggiungere e rimuovere facilmente membri da un gruppo Google anziché concedere o revocare il ruolo IAM per ogni membro.
Concedere l'accesso
Console Google Cloud
-
Nella console Google Cloud, vai alla pagina Endpoints > Servizi per il tuo progetto.
Vai alla pagina Servizi endpoint
-
Se hai più di un'API, fai clic sul nome dell'API.
-
Se il riquadro laterale Autorizzazioni non è aperto, fai clic su addAutorizzazioni.
-
Nella casella Aggiungi membri, inserisci l'indirizzo email di un utente, di un account di servizio o di un gruppo Google.
-
Nel menu a discesa Seleziona un ruolo, fai clic su Gestione servizi e
seleziona uno dei seguenti ruoli:
-
Consumer servizi:questo ruolo contiene le autorizzazioni per consentire a un utente non appartenente al progetto di visualizzare e attivare l'API nel proprio progetto. Se hai creato un
portale per la tua
API, questo ruolo consente agli utenti dell'API di accedere al portale.
-
Service Controller: questo ruolo contiene le autorizzazioni per effettuare chiamate ai metodi
check
e
report
nell'API Service Infrastructure durante il runtime.
-
Editor di configurazione del servizio:questo ruolo contiene le autorizzazioni minime necessarie per eseguire il deployment di una configurazione di Endpoints in un servizio esistente.
-
Amministratore di gestione dei servizi:questo ruolo contiene le autorizzazioni dei ruoli Editor di configurazione del servizio, Consumatore di servizi e Controllore di servizi, oltre alle autorizzazioni necessarie per concedere l'accesso a questa API utilizzando
gcloud
o i metodi programmatici descritti in
Concessione, modifica e revoca dell'accesso alle risorse.
Per informazioni su questo ruolo, consulta l'argomento Controllo dell'accesso all'API Service Management. Sebbene la console Google Cloud ti consenta di selezionare altri ruoli,
questi ruoli non sono utili per la gestione dell'API.
-
Per aggiungere il membro al ruolo IAM specificato, fai clic su Aggiungi.
-
Ripeti l'aggiunta di membri e la selezione del ruolo, se necessario.
-
I ruoli di gestione dei servizi non consentono agli utenti di accedere alla pagina Endpoints >
Servizi nella console Google Cloud. Se vuoi che gli utenti possano accedere alla pagina Endpoint > Servizi, devi concedere loro il ruolo Visualizzatore progetto o un ruolo superiore nel progetto. Per maggiori dettagli, consulta la sezione Concessione, modifica e revoca dell'accesso alle risorse.
gcloud
-
Apri Cloud Shell oppure, se hai installato Google Cloud CLI, apri una
finestra del terminale.
-
Inserisci il comando
gcloud
applicabile:
-
I ruoli di gestione dei servizi non consentono agli utenti di accedere alla pagina Endpoints > Servizi nella console Google Cloud. Se vuoi che gli utenti possano accedere alla pagina Endpoint > Servizi, devi concedergli il ruolo Visualizzatore progetto o un ruolo superiore nel progetto. Per maggiori dettagli, consulta la sezione Concessione, modifica e revoca dell'accesso alle risorse.
Revocare l'accesso
Per revocare l'accesso all'API, rimuovi il ruolo IAM dal membro
che lo deteneva in precedenza.
Console Google Cloud
-
Nella console Google Cloud, vai alla pagina Endpoint > Servizi per il tuo progetto.
Vai alla pagina Servizi endpoint
-
Se hai più di un'API, fai clic sul nome dell'API.
-
Se il riquadro laterale Autorizzazioni non è aperto, fai clic su addAutorizzazioni.
-
Individua il membro per cui vuoi revocare l'accesso. Puoi fare clic sulla scheda Ruolo applicabile per visualizzare un elenco di membri oppure inserire un nome o un ruolo nella casella Cerca membri.
-
Fai clic su Elimina delete.
-
Se vuoi anche revocare l'accesso di un utente al tuo progetto Google Cloud, consulta la sezione Concedere, modificare e revocare l'accesso alle risorse per maggiori dettagli.
gcloud
-
Apri Cloud Shell oppure, se hai installato gcloud CLI,
apri una finestra del terminale.
-
Inserisci il comando
gcloud
applicabile:
-
Se stai revocando l'accesso per un utente, esegui quanto segue:
gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
--member='user:[EMAIL-ADDRESS]' \
--role='[ROLE-NAME]'
Ad esempio:
gcloud endpoints services remove-iam-policy-binding example-service-name \
--member='user:example-user@gmail.com' \
--role='roles/editor'
-
Se stai revocando l'accesso per un account di servizio, esegui quanto segue:
gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
--member='serviceAccount:[EMAIL-ADDRESS]' \
--role='[ROLE-NAME]'
Ad esempio:
gcloud endpoints services remove-iam-policy-binding example-service-name \
--member='serviceAccount:example-service-account@example-project.iam.gserviceaccount.com' \
--role='roles/servicemanagement.configEditor'
-
Se stai revocando l'accesso per un gruppo Google, esegui quanto segue:
gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
--member='group:[GROUP-NAME]@googlegroups.com' \
--role='[ROLE-NAME]'
Ad esempio:
gcloud endpoints services remove-iam-policy-binding example-service-name \
--member='group:example-group@googlegroups.com' \
--role='roles/viewer'
-
Se vuoi anche revocare l'accesso di un utente al tuo progetto Google Cloud, consulta la sezione Concedere, modificare e revocare l'accesso alle risorse per maggiori dettagli.
Passaggi successivi
Scopri di più su: