Proyectos

En esta página, se describe la relación entre los proyectos de Google Cloud Platform Console y los recursos de Cloud Storage. Para obtener más información sobre los proyectos de Google Cloud Platform Console en general, lee Proyectos en la Descripción general de Google Cloud Platform.

¿Qué es un proyecto?

Un proyecto organiza todos tus recursos de Google Cloud Platform. Un proyecto consiste en un conjunto de usuarios, un conjunto de API y la configuración de facturación, autenticación y supervisión para esas API. Por lo tanto, todos tus depósitos y objetos de Cloud Storage, junto con los permisos de usuario para acceder a ellos, residen en un proyecto. Puedes tener un proyecto o puede crear varios y usarlos para organizar tus recursos de Google Cloud Platform, incluidos tus datos de Cloud Storage, en grupos lógicos.

Cuándo especificar un proyecto

La mayoría de las veces, no es necesario especificar un proyecto cuando realizas acciones en Cloud Storage; sin embargo, debes incluir el ID del proyecto o su número en los casos siguientes:

Console

  • Cuando usas Cloud Storage con GCP Console, se te asocia de forma automática con un proyecto. Puedes cambiar los proyectos mediante el menú desplegable en la parte superior de la ventana de GCP Console.

  • Cuando accedes por primera vez a un depósito que habilitó los Pagos del solicitante, se te solicita que selecciones un proyecto para facturar las solicitudes. Luego, puedes cambiar el proyecto de facturación mediante el botón Cambiar proyecto ubicado encima de la lista de objetos del depósito.

gsutil

  • Los comandos gsutil mb, gsutil ls y gsutil kms requieren que especifiques un proyecto, a menos que hayas establecido un proyecto predeterminado. Si no has configurado un proyecto predeterminado o si deseas usar un proyecto diferente, usa la marca -p para especificar un proyecto. Ningún otro comando de gsutil requiere que especifiques un proyecto.

  • Usa la marca -u junto con un ID del proyecto para indicar el proyecto que se cobrará por el acceso de depósito. Esto es necesario cuando se accede a un depósito que ha habilitado Pagos del solicitante y, de lo contrario, es opcional.

API de JSON

  • Los métodos de inserta depósitos y enumera listas requieren que especifiques un proyecto. El proyecto se envía como un parámetro en la URL de solicitud, como en el ejemplo siguiente:

    GET https://www.googleapis.com/storage/v1/b?project=[PROJECT_ID]
  • Para indicar a un proyecto que cobre por el acceso al depósito, usa el parámetro de consulta 'userProject' junto con un ID del proyecto, como en el ejemplo siguiente:

    GET https://www.googleapis.com/storage/v1/b?userProject=[PROJECT_ID]

    Este parámetro de consulta es necesario cuando se accede a un depósito que habilitó Pagos del solicitante y, de lo contrario, es opcional.

API de XML

  • Especifica un proyecto cuando insertes y enumeres depósitos. El proyecto asociado con estas solicitudes a la API XML se especifica en el encabezado HTTP x-goog-project-id, como en el ejemplo siguiente:

    x-goog-project-id: [PROJECT_ID]

    El encabezado es opcional para otras solicitudes a la API XML o si configuraste un proyecto predeterminado de acceso interoperable.

  • Si quieres indicar a un proyecto que cobre por el acceso al depósito, usa el encabezado 'x-goog-user-project' junto con un ID del proyecto, como en el ejemplo siguiente:

    x-goog-user-project: [PROJECT_ID]

    Este encabezado es obligatorio cuando se accede a un depósito que habilitó Pagos del solicitante y, de lo contrario, es opcional.

Miembros y permisos del proyecto

En cada proyecto, puedes usar la administración de identidades y accesos (IAM) para agregar miembros del equipo que pueden administrar y trabajar en tu proyecto. IAM te permite especificar la función o las funciones de cada miembro del equipo: funciones diversas tienen permisos que le permiten a un miembro ejecutar acciones diferentes dentro de tu proyecto.

Si bien se pueden establecer muchas funciones de IAM tanto a nivel de proyecto (lo que aplica a todos los depósitos del proyecto) como a nivel de depósito (lo que aplica solo a un depósito individual), hay varias funciones que solo puedes aplicar a un proyecto. Estas funciones son funciones básicas. Las funciones básicas tienen las propiedades siguientes para Cloud Storage:

Función Comportamiento intrínseco Comportamiento modificable
roles/viewer Los miembros con esta función pueden enumerar depósitos en el proyecto. Los miembros con esta función tienen, como grupo, la función roles/storage.legacyBucketViewer para depósitos del proyecto y READER en la Lista de control de acceso de objeto predeterminado asociada con cada depósito en el proyecto.
roles/editor Los miembros con esta función pueden enumerar, crear y borrar depósitos del proyecto. Los miembros con esta función tienen, como grupo, la función roles/storage.legacyBucketOwner para depósitos del proyecto y OWNER en la Lista de control de acceso de objeto predeterminado asociada con cada depósito en el proyecto.
roles/owner Los miembros con esta función pueden enumerar, crear y borrar depósitos del proyecto. Dentro de Google Cloud Platform, los miembros con roles/owner pueden realizar tareas administrativas de manera más general, como cambiar las funciones de los miembros para el proyecto o cambiar la facturación. Los miembros con esta función tienen, como grupo, la función roles/storage.legacyBucketOwner para depósitos del proyecto y OWNER en la Lista de control de acceso de objeto predeterminado asociada con cada depósito en el proyecto.

Para obtener una lista de las funciones disponibles que se aplican a Cloud Storage, consulta funciones IAM de Cloud Storage.

Para obtener instrucciones sobre cómo agregar, ver y quitar miembros de funciones a nivel de proyecto, consulta Usa IAM con proyectos.

Como se ilustra en la columna de Comportamiento modificable anterior, los miembros del equipo del proyecto pueden tener acceso adicional más allá del otorgado de forma intrínseca por las funciones de IAM básicas. Este acceso adicional proviene de dos fuentes:

Ten en cuenta que en ambos casos, puedes otorgar acceso tanto a usuarios individuales como a todos los titulares de una función básica. Además, el acceso otorgado puede ser mayor que el acceso que un usuario tiene en general para el proyecto, pero no más restringido.

Cuentas de servicio

Las cuentas de servicio permiten a las aplicaciones autenticarse y acceder a los recursos y servicios de GCP. Por ejemplo, puedes crear una cuenta de servicio que usan tus instancias de Compute Engine para acceder a los objetos almacenados en los depósitos de Cloud Storage.

Las cuentas de servicio se crean dentro de un proyecto y tienen una dirección de correo electrónico única que las identifica. Mientras que la mayoría de las cuentas de servicio las crea y administra un usuario, algunas las crean de forma automática los servicios de GCP. Cloud Storage crea una de esas cuentas de servicio con una dirección de correo electrónico que tiene el formato siguiente:

service-[PROJECT_NUMBER]@gs-project-accounts.iam.gserviceaccount.com

Donde [PROJECT_NUMBER] es el número de proyecto que posee la cuenta de servicio.

Usos con Cloud Storage

Las funciones siguientes usan cuentas de servicio de Cloud Storage:

Ejemplos de acciones que pueden realizar las cuentas de servicios que no son de Cloud Storage y que usan los recursos de Cloud Storage:

Pasos siguientes

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

¿Necesitas ayuda? Visita nuestra página de asistencia.