Panoramica
L'API Transcoder utilizza Identity and Access Management (IAM) per controllo dell'accesso'accesso.
Puoi configurare il controllo dell'accesso per l'API Transcoder a livello di progetto. Ad esempio, puoi concedere agli sviluppatori l'accesso per elencare e recuperare tutti i job di un progetto.
Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione IAM. In particolare, consulta la sezione relativa alla gestione dei criteri IAM.
Ogni metodo dell'API Transcoder richiede che il chiamante disponga delle autorizzazioni necessarie. Per ulteriori informazioni, consulta Autorizzazioni e Ruoli.
Autorizzazioni
Questa sezione riepiloga le autorizzazioni dell'API Transcoder supportate da IAM.
Autorizzazioni obbligatorie
Le seguenti tabelle elencano le autorizzazioni IAM associate all'API Transcoder.
Metodo job | Autorizzazioni obbligatorie |
---|---|
jobs.create |
transcoder.jobs.create sul progetto Google Cloud principale. |
jobs.delete |
transcoder.jobs.delete sul progetto Google Cloud principale. |
jobs.get |
transcoder.jobs.get sul progetto Google Cloud principale. |
jobs.list |
transcoder.jobs.list sul progetto Google Cloud principale. |
Metodo modello di job | Autorizzazioni obbligatorie |
---|---|
jobTemplates.create |
transcoder.jobTemplates.create sul progetto Google Cloud principale. |
jobTemplates.delete |
transcoder.jobTemplates.delete sul progetto Google Cloud principale. |
jobTemplates.get |
transcoder.jobTemplates.get sul progetto Google Cloud principale. |
jobTemplates.list |
transcoder.jobTemplates.list sul progetto Google Cloud principale. |
Ruoli
Nella tabella seguente sono elencati i ruoli IAM dell'API Transcoder, incluse le autorizzazioni associate a ciascun ruolo:
Ruolo IAM | Autorizzazioni |
---|---|
Visualizzatore transcoder( Visualizzatore di tutte le risorse del transcoder. |
|
Amministratore transcoder( Accesso completo a tutte le risorse del transcoder. |
|
I ruoli roles/owner
e roles/editor
concedono le autorizzazioni associate al ruolo roles/transcoder.admin
. Il ruolo roles/viewer
concede le autorizzazioni associate al ruolo roles/transcoder.viewer
.
I ruoli roles/owner
, roles/editor
e roles/viewer
includono autorizzazioni anche per altri servizi Google Cloud. Per ulteriori informazioni sui ruoli, consulta
Informazioni sui ruoli.
Accesso a Cloud Storage e Pub/Sub
Per impostazione predefinita, l'API Transcoder ha accesso a tutti i bucket Cloud Storage e agli argomenti Pub/Sub del tuo progetto. Quando crei il tuo primo job, l'API Transcoder crea un account di servizio utilizzando la seguente convenzione di denominazione:
service-PROJECT_NUMBER@gcp-sa-transcoder.iam.gserviceaccount.com
PROJECT_NUMBER è il numero del progetto con l'API Transcoder abilitata. A questo account di servizio viene concesso il ruolo Agente di servizio Transcoder e dispone delle autorizzazioni per:
- Scaricare e caricare i file nei bucket Cloud Storage del progetto
- Pubblica aggiornamenti dello stato negli argomenti Pub/Sub del tuo progetto
Limitazione dell'accesso
Per limitare questo accesso, rimuovi il ruolo Agente di servizio Transcoder dall'account di servizio e sostituiscilo con un accesso più granulare. Segui questi passaggi:
- Vai alla pagina IAM (scheda Autorizzazioni) nella console Google Cloud.
- Trova l'account di servizio con il ruolo Agente di servizio Transcoder e seleziona il pulsante di modifica.
- Elimina il ruolo Agente di servizio transcodifica dall'account di servizio.
- Concedi l'accesso all'account di servizio per ogni singolo bucket Cloud Storage:
- Vai alla pagina Browser Cloud Storage.
- Fai clic su un bucket.
- Seleziona la scheda Autorizzazioni.
- Fai clic su Aggiungi.
- Nella casella Nuove entità, digita il nome dell'account di servizio.
- In Ruolo, seleziona Amministratore oggetti Storage.
- Fai clic su Salva. L'API Transcoder ha ora accesso al bucket.
- (Facoltativo) Concedi l'accesso all'account di servizio per qualsiasi argomento Pub/Sub configurato:
- Vai alla pagina degli argomenti Pub/Sub.
- Fai clic su un argomento.
- Seleziona la scheda Autorizzazioni.
- Fai clic su Aggiungi entità.
- Nella casella Nuove entità, digita il nome dell'account di servizio.
- In Ruolo, seleziona Publisher Pub/Sub.
- Fai clic su Salva. L'API Transcoder ha ora accesso all'argomento.