Nesta página, descrevemos como conceder permissão de acesso a um banco de dados Cloud Spanner para uma instância da máquina virtual do Compute Engine.
Sua instância pode acessar a API Cloud Spanner do Compute Engine usando uma conta de serviço para atuar no seu nome. A conta de serviço fornece Application Default Credentials para eles de modo que você não precisa configurar cada instância do Compute Engine para usar as credenciais de usuário pessoal.
Configure a conta de serviço na sua instância com uma das seguintes opções:
- Para facilitar o desenvolvimento e o teste, configure sua instância para usar a conta de serviço padrão com acesso total a todas as APIs do Cloud.
- Para ambientes de produção, crie uma conta de serviço com acesso de leitura e gravação aos bancos de dados Cloud Spanner e a aplique à sua instância.
Configurar uma instância com acesso a todas as APIs do Cloud
Para permitir rapidamente que sua instância acesse a Cloud Spanner API, crie uma nova instância para usar a conta de serviço padrão e um escopo com acesso total a todas as APIs do Cloud.
Acesse a página "Instâncias de VM" no Compute Engine.
Selecione o projeto e clique em Continuar.
Clique em Criar instância para começar a criar uma nova.
Na seção Acesso à API e identidade, clique em Permitir acesso completo às APIs do Cloud.
Ajuste outras configurações da instância, conforme necessário, e clique em Criar.
Agora que a conta de serviço na sua instância do Compute Engine tem acesso à API Cloud Spanner, use uma biblioteca de cliente para ler e gravar dados no banco de dados do Cloud Spanner. A instância usa as credenciais da conta de serviço padrão para se autenticar com a Cloud Spanner API.
Configurar uma instância com uma conta de serviço
Para restringir o acesso da instância a APIs e papéis específicos, crie uma conta de serviço com permissão somente para acessar os bancos de dados do Cloud Spanner. Em seguida, aplique a conta de serviço à instância.
Selecione uma conta de serviço que atuará em seu nome para acessar o Cloud Spanner. Use uma das seguintes opções:
- Crie uma nova conta de serviço.
- Identifique uma conta de serviço atual que possa ser usada para sua instância.
Conceda uma função à conta de serviço para que ela tenha as permissões necessárias para acessar o Cloud Spanner. Para conseguir uma lista de papéis relevantes ao Cloud Spanner, consulte Controle de acesso para o Cloud Spanner.
Acesse a página "Instâncias de VM" no Compute Engine.
Selecione o projeto e clique em Continuar.
Clique em Criar instância para começar a criar uma nova.
Na seção Acesso à API e identidade, selecione a conta de serviço da lista na Conta de serviço.
Ajuste outras configurações da instância, conforme necessário, e clique em Criar.
Agora que a conta de serviço na sua instância do Compute Engine tem acesso à API Cloud Spanner, use uma biblioteca de cliente para ler e gravar dados no banco de dados do Cloud Spanner. A instância usa as credenciais da conta de serviço para se autenticar com a Cloud Spanner API.
A seguir
- Conecte-se à instância e siga um tutorial de biblioteca de cliente para saber como ler e gravar dados da sua instância no Cloud Spanner.
- Saiba mais sobre contas de serviço no Compute Engine e como é possível usá-las para conceder papéis de IAM e escopos de acesso de API aos aplicativos que são executados nas suas instâncias.
- Saiba como alterar as contas do serviço em instâncias atuais.
- Saiba mais sobre como criar e iniciar instâncias do Compute Engine.