Como controlar quem pode ativar a API

As chaves de API são associadas ao projeto do Google Cloud em que foram criadas. Se a API exigir uma chave de API, você terá que fornecer aos usuários da API uma chave do projeto em que o serviço Cloud Endpoints foi criado. Você também pode permitir que os usuários ativem a API nos próprios projetos do Google Cloud e criem uma chave de API. Nesta página, mostraremos como conceder a permissão de que os usuários precisam para ativar a API.

Conceder acesso

O Endpoints usa o papel Consumidor de serviço do Identity and Access Management (IAM) para permitir que alguém que não seja membro do projeto do Google Cloud possa ativar a API nos próprios projetos. Nesta seção, veremos como conceder acesso usando o Console do Google Cloud ou a ferramenta de linha de comando gcloud.

Console do Cloud

  1. No Console do Cloud, acesse a página Endpoints > Serviços do seu projeto.

    Ir para a página Serviços do Endpoints

  2. Se você tiver mais de uma API, clique no nome da API à qual você quer conceder acesso.
  3. Se o painel lateral Permissões não estiver aberto, clique em Permissões.
  4. No campo Adicionar membros, insira o endereço de e-mail da pessoa ou do Grupo do Google ao qual você quer conceder acesso.
  5. No menu suspenso Selecionar um papel, escolha Gerenciamento de serviço > Consumidor do serviço.
  6. Clique em Adicionar.
  7. Adicione quantos membros e papéis forem necessários.
  8. Entre em contato com os usuários ou grupos que você adicionou e informe que eles podem ativar a API nos próprios projetos do Google Cloud. Para mais informações sobre como ativar um serviço em APIs e serviços, consulte Ativar uma API no projeto do Google Cloud.

gcloud

  1. Abra o Cloud Shell ou, se você tiver o SDK do Cloud instalado, abra uma janela de terminal.
    • Se você está concedendo acesso a um usuário individual:
      
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
            --member='user:EMAIL-NAME@gmail.com' \
            --role='roles/servicemanagement.serviceConsumer'
      
    • Se você está concedendo acesso a um grupo do Google:
      
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
            --member='group:GROUP-NAME@googlegroups.com' \
            --role='roles/servicemanagement.serviceConsumer'
      
  2. Entre em contato com os usuários ou grupos que você adicionou e informe que eles podem ativar a API nos próprios projetos do Google Cloud. Para mais informações sobre como ativar um serviço em APIs e serviços, consulte Ativar uma API no projeto do Google Cloud.

Como revogar o acesso

Para revogar o acesso à API, remova o papel Consumidor de serviços de um usuário ou grupo que antes tinha essa função. Com o acesso revogado, o usuário ou grupo não poderá ativar sua API.

Nesta seção, veremos como revogar o acesso usando o Console do Cloud ou a ferramenta de linha de comando gcloud.

Console do Cloud

  1. No Console do Cloud, acesse a página Endpoints > Serviços do projeto do Google Cloud.

    Ir para a página Serviços do Endpoints

  2. Se você tiver mais de uma API, clique no nome da API da qual você quer revogar o acesso.
  3. Se o painel lateral Permissões não estiver aberto, clique em Permissões.
  4. Clique no cartão Papel ao qual o membro pertence.
  5. Clique em Excluir .

gcloud

  • Se você está revogando o acesso de um usuário individual:
    
    gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
          --member='user:'EMAIL-NAME@gmail.com' --role='roles/servicemanagement.serviceConsumer'
    
  • Se você está revogando o acesso de um grupo do Google:
    
    gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
          --member='group:GROUP-NAME@googlegroups.com' \
          --role='roles/servicemanagement.serviceConsumer'
    

A seguir