Descripción general
La API de Transcoder usa la administración de identidades y accesos (IAM) para el control de acceso.
Puedes configurar el control de acceso de la API de Transcoder a nivel del proyecto. Por ejemplo, puedes otorgar acceso a los desarrolladores para que enumeren y obtengan todos los trabajos dentro de un proyecto.
Para obtener una descripción detallada de IAM y sus características, consulta la documentación de IAM. En particular, consulta la sección sobre administración de políticas de IAM.
Cada método de la API de Transcoder requiere que la persona que llama tenga los permisos necesarios. Para obtener más información, consulta el artículo sobre permisos y funciones.
Permisos
En esta sección, se resumen los permisos de la API de Transcoder que admite IAM.
Permisos necesarios
En las siguientes tablas, se enumeran los permisos de IAM asociados con la API de Transcoder.
Método de trabajo | Permisos necesarios |
---|---|
jobs.create |
transcoder.jobs.create en el proyecto superior de Google Cloud. |
jobs.delete |
transcoder.jobs.delete en el proyecto superior de Google Cloud. |
jobs.get |
transcoder.jobs.get en el proyecto superior de Google Cloud. |
jobs.list |
transcoder.jobs.list en el proyecto superior de Google Cloud. |
Método de plantilla de trabajo | Permisos necesarios |
---|---|
jobTemplates.create |
transcoder.jobTemplates.create en el proyecto superior de Google Cloud. |
jobTemplates.delete |
transcoder.jobTemplates.delete en el proyecto superior de Google Cloud. |
jobTemplates.get |
transcoder.jobTemplates.get en el proyecto superior de Google Cloud. |
jobTemplates.list |
transcoder.jobTemplates.list en el proyecto superior de Google Cloud. |
Funciones
En la siguiente tabla, se enumeran las funciones de IAM de la API de Transcoder, incluidos los permisos asociados a cada función:
Función de IAM | Permisos |
---|---|
Visualizador del transcodificador( Puede ver todos los recursos del transcodificador. |
|
Administrador del transcodificador( Tiene acceso completo a los recursos del transcodificador. |
|
Los roles roles/owner
y roles/editor
otorgan los permisos asociados con el rol roles/transcoder.admin
. El rol roles/viewer
otorga permisos asociados con el rol roles/transcoder.viewer
.
Las funciones roles/owner
, roles/editor
y roles/viewer
también incluyen permisos para otros servicios de Google Cloud. Para obtener más información sobre las funciones, consulta Información sobre las funciones.
Acceso a Cloud Storage y Pub/Sub
De forma predeterminada, la API de Transcoder tiene acceso a todos los buckets de Cloud Storage y los temas de Pub/Sub de tu proyecto. Cuando creas tu primera tarea, la API de Transcoder crea una cuenta de servicio con la siguiente convención de nombres:
service-PROJECT_NUMBER@gcp-sa-transcoder.iam.gserviceaccount.com
PROJECT_NUMBER es el número de tu proyecto con la API de Transcoder habilitada. A esta cuenta de servicio se le otorga el rol de agente de servicio de transcodificador y tiene permisos para hacer lo siguiente:
- Descarga y sube archivos a los buckets de Cloud Storage de tu proyecto
- Publica actualizaciones de estado en los temas de Pub/Sub de tu proyecto
Limita el acceso
Para limitar este acceso, quita la función de Agente de servicio de Transcoder de la cuenta de servicio y reemplázala por un acceso más detallado. Lleva a cabo los pasos siguientes:
- Ve a la página de IAM (pestaña Permisos) en la consola de Google Cloud.
- Busca la cuenta de servicio con la función de Agente de servicio de Transcoder y selecciona el botón Editar.
- Borra la función Agente del servicio de Transcoder de la cuenta de servicio.
- Otorga acceso a la cuenta de servicio para cada depósito individual de Cloud Storage:
- Ir a la página del navegador de Cloud Storage
- Haz clic en un bucket.
- Selecciona la pestaña Permisos.
- Haz clic en Agregar.
- En el cuadro Principales nuevas, escribe el nombre de la cuenta de servicio.
- En Rol, selecciona Administrador de objetos de almacenamiento.
- Haz clic en Guardar. La API de Transcoder ahora tiene acceso al bucket.
- (Opcional) Otorga acceso a la cuenta de servicio para cualquier tema de Pub/Sub configurado:
- Ir a la página de temas de Pub/Sub
- Haz clic en un tema.
- Selecciona la pestaña Permisos.
- Haz clic en Agregar principal.
- En el cuadro Principales nuevas, escribe el nombre de la cuenta de servicio.
- En Rol, selecciona Publicador de Pub/Sub.
- Haz clic en Guardar. La API de Transcoder ahora tiene acceso al tema.