Projetos

Nesta página, você verá a relação entre os projetos do Console do Google Cloud e os recursos do Cloud Storage. Para saber mais sobre os projetos do Console do Google Cloud em geral, leia Projetos na Visão geral do Google Cloud.

O que é um projeto?

Um projeto organiza todos os seus recursos do Google Cloud. Um projeto consiste em um conjunto de usuários, um conjunto de APIs e configurações de faturamento, autenticação e monitoramento dessas APIs. Por exemplo, todos os seus buckets e objetos do Cloud Storage, bem como as permissões de usuário para acessá-los, residem em um projeto. É possível ter um projeto ou criar vários e usá-los para organizar seus recursos do Google Cloud, incluindo os dados do Cloud Storage, em grupos lógicos.

Quando especificar um projeto

Na maioria das vezes, não é necessário especificar um projeto para executar ações no Cloud Storage. No entanto, o código ou o número do projeto precisa ser incluído nos seguintes casos:

Console

  • Ao usar o Cloud Storage com o Console do Cloud, você é automaticamente associado a um projeto. É possível alterar projetos usando o menu suspenso na parte superior da janela do Console do Cloud.

  • Ao acessar pela primeira vez um bucket com pagamentos do solicitante ativados, você receberá uma solicitação para selecionar um projeto para faturar as solicitações. Posteriormente, será possível alterar o projeto de faturamento usando o botão Alterar projeto, localizado acima da lista de objetos do bucket.

gsutil

  • Os comandos gsutil mb, gsutil ls e gsutil kms exigem que você especifique um projeto, a menos que tenha definido um projeto padrão. Se você não definiu um projeto padrão ou quer usar um projeto diferente, use a sinalização -p para especificá-lo. Nenhum outro comando gsutil exige que você especifique um projeto.

  • Use a sinalização -u e um ID do projeto para indicar o projeto a ser cobrado pelo acesso ao bucket. Isso é necessário para acessar um bucket com pagamentos do solicitante ativados. Fora desse contexto, isso é opcional.

API JSON

  • Os métodos de listagem de buckets e de inserção de bucket exigem que você especifique um projeto. O projeto é enviado como um parâmetro no URL de solicitação, como neste exemplo:

    GET https://storage.googleapis.com/storage/v1/b?project=[PROJECT_ID]
  • Para indicar um projeto de cobrança pelo acesso ao bucket, use o parâmetro de consulta "userProject" e o ID do projeto, como neste exemplo:

    GET https://storage.googleapis.com/storage/v1/b?userProject=[PROJECT_ID]

    Esse parâmetro de consulta é necessário para acessar um bucket com pagamentos do solicitante ativados. Fora desse contexto, ele é opcional.

API XML

  • Especifique um projeto ao listar e inserir buckets. O projeto associado a essas solicitações de API XML é especificado no cabeçalho HTTP x-goog-project-id, como neste exemplo:

    x-goog-project-id: [PROJECT_ID]

    O cabeçalho é opcional para outras solicitações da API XML ou se você definiu um projeto padrão para acesso interoperável.

  • Para indicar um projeto de cobrança pelo acesso ao bucket, use o cabeçalho "x-goog-user-project" e um ID do projeto, como neste exemplo:

    x-goog-user-project: [PROJECT_ID]

    Esse cabeçalho é necessário ao acessar um bucket com pagamentos do solicitante ativados. Do contrário, é opcional.

Projetos e permissões

Para cada projeto, use o Cloud Identity and Access Management para conceder a capacidade de gerenciar e trabalhar no projeto. Quando você dá um papel do Cloud IAM a um membro, como uma Conta do Google, esse membro recebe determinadas permissões que possibilitam que ele realize ações. Quando você concede um papel no nível do projeto, o acesso fornecido pelo papel se aplica a todos os buckets e objetos dentro do projeto. Como alternativa, se você conceder um papel para um bucket individual, o acesso fornecido pelo papel será limitado apenas a esses bucket e aos objetos que ele contém.

Para uma lista de papéis disponíveis que se aplicam ao Cloud Storage, bem como uma discussão sobre como um conjunto especial de papéis, chamado de Papéis primários, se aplica ao Cloud Storage, consulte Papéis do IAM para o Cloud Storage.

Para instruções sobre como visualizar, conceder e revogar os papéis de um membro no nível do bucket e do projeto, consulte Como usar o IAM com projetos.

Contas de serviço

Contas de serviço permitem que os aplicativos autentiquem e acessem os recursos e serviços do Google Cloud. Por exemplo, é possível criar uma conta de serviço que as instâncias do Compute Engine usam para acessar objetos armazenados em buckets do Cloud Storage.

As contas de serviço são criadas dentro de um projeto e têm um endereço de e-mail exclusivo que as identifica. Embora a maioria das contas de serviço seja criada e gerenciada por um usuário, algumas são criadas e gerenciadas automaticamente pelos serviços do Google Cloud. O Cloud Storage cria uma dessas contas de serviço com um endereço de e-mail no seguinte formato:

service-[PROJECT_NUMBER]@gs-project-accounts.iam.gserviceaccount.com

Em que [PROJECT_NUMBER] é o número do projeto da conta de serviço.

Usos com o Cloud Storage

Os seguintes recursos usam uma conta de serviço automática do Cloud Storage:

A seguir, há exemplos de ações relacionadas ao Cloud Storage que uma conta de serviço que você criou e gerencia poderá realizar:

A seguir