Como controlar quem pode ativar a API

As chaves de API são associadas ao projeto do Google Cloud em que foram criadas. Se a API exigir uma chave de API, você terá que fornecer aos usuários da API uma chave do projeto em que o serviço Cloud Endpoints foi criado. Você também pode permitir que os usuários ativem a API nos próprios projetos do Google Cloud e criem uma chave de API. Nesta página, mostraremos como conceder a permissão de que os usuários precisam para ativar a API.

Conceder acesso

O Endpoints usa o papel Consumidor de serviço do Identity and Access Management (IAM) para permitir que alguém que não seja membro do projeto do Google Cloud possa ativar a API nos próprios projetos. Esta seção mostra como conceder acesso usando a o console do Google Cloud ou a Google Cloud CLI.

Console do Google Cloud

  1. No console do Google Cloud, acesse a página Endpoints > Services do seu projeto.

    Ir para a página Serviços do Endpoints

  2. Se você tiver mais de uma API, clique no nome da API à qual você quer conceder acesso.
  3. Se o painel lateral Permissões não estiver aberto, clique em Mostrar painel de permissões.
  4. No campo Adicionar principal, insira o endereço de e-mail da pessoa ou do Grupo do Google a que você quer conceder acesso.
  5. No menu suspenso Selecionar um papel, escolha Gerenciamento de serviço > Consumidor do serviço.
  6. Clique em Salvar.
  7. Adicione quantos membros e papéis forem necessários.
  8. Entre em contato com os usuários ou grupos que você adicionou e informe que eles podem ativar a API nos próprios projetos do Google Cloud. Para mais informações sobre como ativar um serviço em APIs e serviços, consulte Ativar uma API no projeto do Google Cloud.

gcloud

  1. Abra o Cloud Shell ou, se você tiver a Google Cloud CLI instalada, abra em uma janela de terminal.
    • Se você está concedendo acesso a um usuário individual:
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
            --member='user:EMAIL-NAME@gmail.com' \
            --role='roles/servicemanagement.serviceConsumer'
    • Se você está concedendo acesso a um grupo do Google:
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
            --member='group:GROUP-NAME@googlegroups.com' \
            --role='roles/servicemanagement.serviceConsumer'
  2. Entre em contato com os usuários ou grupos que você adicionou e informe que eles podem ativar a API nos próprios projetos do Google Cloud. Para mais informações sobre como ativar um serviço em APIs e serviços, consulte Ativar uma API no projeto do Google Cloud.

Como revogar o acesso

Para revogar o acesso à API, remova o papel Consumidor de serviços de um usuário ou grupo que antes tinha essa função. Com o acesso revogado, o usuário ou grupo não poderá ativar sua API.

Esta seção mostra como revogar o acesso usando o console do Google Cloud ou a CLI do Google Cloud.

Console do Google Cloud

  1. No console do Google Cloud, acesse Endpoints > Serviços do seu projeto do Google Cloud.

    Ir para a página Serviços do Endpoints

  2. Se você tiver mais de uma API, clique no nome da API da qual você quer revogar o acesso.
  3. Se o painel lateral Permissões não estiver aberto, clique em Permissões.
  4. Clique no cartão Papel ao qual o membro pertence.
  5. Clique em Excluir .

gcloud

  • Se você está revogando o acesso de um usuário individual:
    gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
          --member='user:'EMAIL-NAME@gmail.com' --role='roles/servicemanagement.serviceConsumer'
  • Se você está revogando o acesso de um grupo do Google:
    gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
          --member='group:GROUP-NAME@googlegroups.com' \
          --role='roles/servicemanagement.serviceConsumer'

A seguir