Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta página, se describe cómo otorgar permiso a la instancia de máquina virtual de Compute Engine para acceder a una base de datos de Spanner.
Tu instancia puede acceder a la API de Cloud Spanner desde Compute Engine mediante una cuenta de servicio para que actúe en tu nombre. La cuenta de servicio proporciona credenciales predeterminadas de la aplicación para tus aplicaciones, de modo que no necesites configurar cada instancia de Compute Engine para usar tus credenciales de usuario personal.
Configura la cuenta de servicio en tu instancia con una de las siguientes opciones:
Configurar una instancia con acceso a todas las API de Cloud
Para otorgar permiso a tu instancia con rapidez a fin de que acceda a la API de Cloud Spanner, crea una instancia nueva para usar la cuenta de servicio predeterminada y un alcance con acceso completo a todas las API de Cloud.
Ve a la página de instancias de VM de Compute Engine.
Haz clic en Crear instancia para comenzar a crear una nueva instancia.
En la sección Identidad y acceso a la API, haz clic en Permitir acceso completo a todas las API de Cloud.
Configura otras opciones de configuración de la instancia según sea necesario y, luego, haz clic en Crear.
Ahora que la cuenta de servicio de tu instancia de Compute Engine tiene acceso a la API de Cloud Spanner, usa una biblioteca cliente para leer y escribir datos en tu base de datos de Spanner. La instancia usa las credenciales de la cuenta de servicio predeterminada para autenticarse con la API de Cloud Spanner.
Configurar una instancia con una cuenta de servicio
Para restringir el acceso de las instancias a funciones y APIs específicas, crea una cuenta de servicio con permiso solo para acceder a tus bases de datos de Spanner. Luego, aplica la cuenta de servicio a tu instancia.
Selecciona una cuenta de servicio que actuará en tu nombre para acceder a Spanner. Usa una de las siguientes opciones:
Haz clic en Crear instancia para comenzar a crear una nueva instancia.
En la sección Identidad y acceso a la API, selecciona la cuenta de servicio de la lista que aparece en Cuenta de servicio.
Configura otras opciones de configuración de la instancia según sea necesario y, luego, haz clic en Crear.
Ahora que la cuenta de servicio de tu instancia de Compute Engine tiene acceso a la API de Cloud Spanner, usa una biblioteca cliente para leer y escribir datos en tu base de datos de Spanner. La instancia usa las credenciales de la cuenta de servicio para autenticarse con la API de Cloud Spanner.
Obtén más información sobre las cuentas de servicio en Compute Engine y cómo usarlas para otorgar funciones de IAM y alcances de acceso a la API a las aplicaciones que se ejecutan en tus instancias.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["# Using Spanner in a virtual machine instance\n\nThis page describes how to grant your Compute Engine\n[virtual machine instance](/compute/docs/instances) permission to access a\nSpanner database.\n\nYour instance can access the Cloud Spanner API from Compute Engine by\nusing a service account to act on your behalf. The service account provides\n[application default credentials](https://developers.google.com/identity/protocols/application-default-credentials)\nfor your applications so that you don't need to configure each\nCompute Engine instance to use your personal user credentials.\n\nConfigure the service account on your instance with one of the following\noptions:\n\n- For easy development and testing, configure your instance to [use the default service account with full access to all Cloud APIs](#default-full-access).\n- For production environments, [create a service account with read and write access to your Spanner databases](#service-account) and apply it to your instance.\n\nConfigure an instance with access to all Cloud APIs\n---------------------------------------------------\n\nTo quickly allow your instance to access the Cloud Spanner API, create a new instance\nto use the default service account and a scope with full access to all Cloud\nAPIs.\n\n1. Go to the Compute Engine VM instances page.\n\n [Go to the VM instances page](https://console.cloud.google.com/compute/instances)\n2. Select your project and click **Continue**.\n\n3. Click **Create Instance** to start creating a new instance.\n\n4. In the **Identity and API access** section, click **Allow full access to all Cloud APIs**.\n\n5. Configure other instance settings as needed, then click **Create**.\n\nNow that the service account on your Compute Engine instance has access\nto the Cloud Spanner API, [use a client library](/spanner/docs/tutorials) to read\nand write data in your Spanner database. The instance uses the\ncredentials from the default service account to authenticate with the\nCloud Spanner API.\n\nConfigure an instance with a service account\n--------------------------------------------\n\nTo restrict instance access to specific APIs and roles, create a service\naccount with permission only to access your Spanner\ndatabases. Then, apply the service account to your instance.\n\n1. Select a service account that will act on your behalf to access\n Spanner. Use one of the following options:\n\n - [Create a new service account](/iam/docs/service-accounts-create).\n - [Identify an existing service account](/iam/docs/service-accounts-list-edit#listing) that you can use for your instance.\n2. [Grant a role to the service account](/iam/docs/granting-roles-to-service-accounts#granting_access_to_a_service_account_for_a_resource)\n so that it has the necessary permissions to access Spanner. For a\n list of roles that apply to Spanner, see\n [Access Control for Spanner](/spanner/docs/iam#roles).\n\n3. Go to the Compute Engine VM instances page.\n\n [Go to the VM instances page](https://console.cloud.google.com/compute/instances)\n4. Select your project and click **Continue**.\n\n5. Click **Create Instance** to start creating a new instance.\n\n6. In the **Identity and API access** section, select the service account\n from the list under **Service account**.\n\n7. Configure other instance settings as needed, then click **Create**.\n\nNow that the service account on your Compute Engine instance has access\nto the Cloud Spanner API, [use a client library](/spanner/docs/tutorials) to read\nand write data in your Spanner database. The instance uses the\nservice account credentials to authenticate with the Cloud Spanner API.\n\nWhat's next\n-----------\n\n- [Connect to your instance](/compute/docs/instances/connecting-to-instance) and follow a [client library tutorial](/spanner/docs/tutorials) to learn how to read and write data to Spanner from your instance.\n- Learn more about [service accounts on Compute Engine](/compute/docs/access/service-accounts) and how you can use them to grant IAM roles and API access scopes to the applications that run on your instances.\n- Learn how to [change service accounts on existing instances](/compute/docs/access/create-enable-service-accounts-for-instances#changeserviceaccountandscopes).\n- Learn more about [creating and starting an Compute Engine instances](/compute/docs/instances/create-start-instance)."]]
