Proyectos

En esta página, se describe la relación entre los proyectos de Google Cloud Platform Console y los recursos de Cloud Storage. Para obtener más información sobre los proyectos de Google Cloud Platform Console en general, lee Proyectos en la Descripción general de Google Cloud Platform.

¿Qué es un proyecto?

Un proyecto organiza todos tus recursos de Google Cloud Platform. Un proyecto consiste en un conjunto de usuarios, un conjunto de API y configuración de facturación, autenticación y supervisión para las API. Por lo tanto, todos tus depósitos y objetos de Cloud Storage, junto con los permisos del usuario para acceder a ellos, residen en un proyecto. Puedes tener un proyecto o puedes crear varios y usarlos para organizar tus recursos de Google Cloud Platform, incluidos tus datos de Cloud Storage, en grupos lógicos.

Cuándo especificar un proyecto

La mayoría de las veces, no es necesario especificar un proyecto cuando realizas acciones en Cloud Storage; sin embargo, debes incluir el ID del proyecto o su número en los casos siguientes:

Console

  • Cuando usas Cloud Storage con GCP Console, se te asocia automáticamente con un proyecto. Puedes cambiar los proyectos mediante el menú desplegable en la parte superior de la ventana de GCP Console.

  • Cuando accedes por primera vez a un depósito que habilitó los Pagos del solicitante, se te solicita que selecciones un proyecto para facturar las solicitudes. Luego, puedes cambiar el proyecto de facturación mediante el botón Cambiar proyecto ubicado encima de la lista de objetos del depósito.

gsutil

  • Los comandos de gsutil mb, gsutil ls y gsutil kms requieren que especifiques un proyecto, excepto si ya configuraste un proyecto predeterminado. Si no configuraste un proyecto predeterminado o si deseas usar un proyecto diferente, usa la marca -p para especificar un proyecto. Ningún otro comando de gsutil requiere que especifiques un proyecto.

  • Usa la marca -u junto con un ID del proyecto para indicar el proyecto que se cobrará por el acceso de depósito. Esto es necesario cuando se accede a un depósito que habilitó Pagos del solicitante y, de lo contrario, es opcional.

API de JSON

  • Los métodos de insertar depósitos y enumerar listas requieren que especifiques un proyecto. El proyecto se envía como un parámetro en la URL de solicitud, como en el ejemplo siguiente:

    GET https://www.googleapis.com/storage/v1/b?project=[PROJECT_ID]
  • Para indicar a un proyecto que cobre por el acceso al depósito, usa el parámetro de consulta 'userProject' junto con un ID del proyecto, como en el ejemplo siguiente:

    GET https://www.googleapis.com/storage/v1/b?userProject=[PROJECT_ID]

    Este parámetro de consulta es necesario cuando se accede a un depósito que habilitó Pagos del solicitante y, de lo contrario, es opcional.

API de XML

  • Especifica un proyecto cuando insertes y enumeres depósitos. El proyecto relacionado con las solicitudes a la API de XML se especifica en el encabezado HTTP x-goog-project-id, como en el siguiente ejemplo:

    x-goog-project-id: [PROJECT_ID]

    El encabezado es opcional para otras solicitudes a la API de XML o si configuraste un proyecto predeterminado para el acceso interoperable.

  • Si quieres indicar a un proyecto que cobre por el acceso al depósito, usa el encabezado 'x-goog-user-project' junto con un ID del proyecto, como en el ejemplo siguiente:

    x-goog-user-project: [PROJECT_ID]

    Este encabezado es obligatorio cuando se accede a un depósito que habilitó Pagos del solicitante y, de lo contrario, es opcional.

Miembros y permisos del proyecto

En cada proyecto, puedes usar la administración de identidades y accesos (IAM) para agregar miembros del equipo que pueden administrar y trabajar en tu proyecto. IAM te permite especificar la función o las funciones de cada miembro del equipo: funciones diversas tienen permisos que le permiten a un miembro ejecutar acciones diferentes dentro de tu proyecto.

Si bien se pueden establecer muchas funciones de IAM tanto a nivel de proyecto (lo que aplica a todos los depósitos del proyecto) como a nivel de depósito (lo que aplica solo a un depósito individual), hay varias funciones que solo puedes aplicar a un proyecto. Estas funciones son funciones básicas. Las funciones básicas tienen las siguientes propiedades para Cloud Storage:

Función Comportamiento intrínseco Comportamiento modificable
roles/viewer Los miembros con esta función pueden enumerar depósitos y, además, enumerar y obtener claves HMAC en el proyecto.
  • Los miembros con esta función reciben, como grupo, la función roles/storage.legacyBucketReader para cada depósito en el proyecto.
  • Los miembros con esta función se constituyen como READER en la Lista de control de acceso predeterminada del objeto para cada depósito en el proyecto.
  • Los miembros con esta función obtienen, como grupo, la función roles/storage.legacyObjectReader para cualquier depósito del proyecto creado con Solo política del depósito habilitada.
roles/editor Los miembros con esta función pueden enumerar, crear y borrar depósitos en el proyecto, así como tener control total sobre las claves HMAC en él.
  • Los miembros con esta función reciben, como grupo, la función roles/storage.legacyBucketOwner para cada depósito en el proyecto.
  • Los miembros con esta función se constituyen como OWNER en la Lista de control de acceso predeterminada del objeto para cada depósito en el proyecto.
  • Los miembros con esta función obtienen, como grupo, la función roles/storage.legacyObjectOwner para cualquier depósito del proyecto creado con Solo política del depósito habilitada.
roles/owner Los miembros con esta función pueden enumerar, crear y borrar depósitos en el proyecto, así como tener control total sobre las claves HMAC en él. En general, en Google Cloud Platform, los miembros con roles/owner pueden realizar tareas administrativas, como cambiar las funciones de los miembros para el proyecto o cambiar la facturación.
  • Los miembros con esta función reciben, como grupo, la función roles/storage.legacyBucketOwner para cada depósito en el proyecto.
  • Los miembros con esta función se constituyen como OWNER en la Lista de control de acceso predeterminada del objeto para cada depósito en el proyecto.
  • Los miembros con esta función obtienen, como grupo, la función roles/storage.legacyObjectOwner para cualquier depósito del proyecto creado con Solo política del depósito habilitada.

Para obtener una lista de las funciones disponibles que se aplican a Cloud Storage, consulta funciones IAM de Cloud Storage.

A fin de obtener instrucciones para agregar, ver y quitar miembros de funciones a nivel de proyecto, consulta Cómo usar Cloud IAM con proyectos.

Como se ilustra en la columna de Comportamiento modificable anterior, los miembros del equipo del proyecto pueden tener acceso adicional más allá del otorgado de forma intrínseca por las funciones de IAM básicas. Este acceso adicional proviene de dos fuentes:

Ten en cuenta que, en ambos casos, puedes otorgar acceso tanto a usuarios individuales como a todos los titulares de una función básica. Además, el acceso otorgado puede ser mayor que el acceso que un usuario tiene en general para el proyecto, pero no más restringido.

Cuentas de servicio

Las cuentas de servicio permiten a las aplicaciones autenticarse y acceder a los recursos y servicios de GCP. Por ejemplo, puedes crear una cuenta de servicio que usan tus instancias de Compute Engine para acceder a los objetos almacenados en los depósitos de Cloud Storage.

Las cuentas de servicio se crean dentro de un proyecto y tienen una dirección de correo electrónico única que las identifica. Mientras que la mayoría de las cuentas de servicio las crea y administra un usuario, algunas las crean y administran automáticamente los servicios de GCP. Cloud Storage crea una de esas cuentas de servicio con una dirección de correo electrónico que tiene el siguiente formato:

service-[PROJECT_NUMBER]@gs-project-accounts.iam.gserviceaccount.com

donde [PROJECT_NUMBER] es el número de proyecto que posee la cuenta de servicio.

.

Usos con Cloud Storage

Las siguientes funciones usan cuentas de servicio de Cloud Storage:

Ejemplos de acciones que pueden realizar las cuentas de servicio que no son de Cloud Storage y que usan los recursos de Cloud Storage:

Pasos siguientes

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

¿Necesitas ayuda? Visita nuestra página de asistencia.