Controllo dell'accesso con IAM

Panoramica

L'API Transcoder utilizza Identity and Access Management (IAM) per il controllo degli accessi.

Puoi configurare il controllo dell'accesso per l'API Transcoder nel progetto livello. Ad esempio, puoi concedere agli sviluppatori l'accesso per elencare e recuperare tutti i job all'interno di un progetto.

Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la documentazione di IAM. in particolare la sezione sulla gestione dei criteri IAM.

Ogni metodo dell'API Transcoder richiede che il chiamante disponga le autorizzazioni necessarie. Per ulteriori informazioni, vedi Autorizzazioni e Ruoli.

Autorizzazioni

Questa sezione riassume le autorizzazioni dell'API Transcoder supportati da IAM.

Autorizzazioni obbligatorie

Le seguenti tabelle elencano le autorizzazioni IAM associate a l'API Transcoder.

Metodo job Autorizzazioni obbligatorie
jobs.create transcoder.jobs.create nel progetto Google Cloud padre.
jobs.delete transcoder.jobs.delete nel progetto Google Cloud principale.
jobs.get transcoder.jobs.get nel progetto Google Cloud padre.
jobs.list transcoder.jobs.list nel progetto Google Cloud padre.
Metodo del modello di job Autorizzazioni obbligatorie
jobTemplates.create transcoder.jobTemplates.create nel progetto Google Cloud padre.
jobTemplates.delete transcoder.jobTemplates.delete nel progetto Google Cloud principale.
jobTemplates.get transcoder.jobTemplates.get nel progetto Google Cloud padre.
jobTemplates.list transcoder.jobTemplates.list nel progetto Google Cloud padre.

Ruoli

La tabella riportata di seguito elenca i ruoli IAM per l'API Transcoder, comprese le autorizzazioni associate a ciascun ruolo:

Ruolo IAM Autorizzazioni

(roles/transcoder.viewer)

Visualizzatore di tutte le risorse del transcoder.

resourcemanager.projects.get

resourcemanager.projects.list

transcoder.jobTemplates.get

transcoder.jobTemplates.list

transcoder.jobs.get

transcoder.jobs.list

(roles/transcoder.admin)

Accesso completo a tutte le risorse del transcoder.

resourcemanager.projects.get

resourcemanager.projects.list

transcoder.*

  • transcoder.jobTemplates.create
  • transcoder.jobTemplates.delete
  • transcoder.jobTemplates.get
  • transcoder.jobTemplates.list
  • transcoder.jobs.create
  • transcoder.jobs.delete
  • transcoder.jobs.get
  • transcoder.jobs.list

I ruoli roles/owner e roles/editor concedono le autorizzazioni associate a il ruolo roles/transcoder.admin. Il ruolo roles/viewer concede le autorizzazioni associate al ruolo roles/transcoder.viewer.

I ruoli roles/owner, roles/editor e roles/viewer includono anche le autorizzazioni per altri servizi Google Cloud. Per ulteriori informazioni sui ruoli, consulta Informazioni sui ruoli.

Accesso a Cloud Storage e Pub/Sub

Per impostazione predefinita, l'API Transcoder ha accesso a tutti i dati bucket Cloud Storage e argomenti Pub/Sub. Quando crei primo job, l'API Transcoder crea un account di servizio utilizzando seguente convenzione di denominazione:

service-PROJECT_NUMBER@gcp-sa-transcoder.iam.gserviceaccount.com

PROJECT_NUMBER è il numero del progetto con l'API Transcoder abilitata. A questo account di servizio viene concesso il ruolo Agente di servizio transcoder e ha le autorizzazioni per eseguire le seguenti operazioni:

  • Scaricare e caricare file nei bucket Cloud Storage del progetto
  • Pubblicare aggiornamenti dello stato negli argomenti Pub/Sub del progetto

Limitazione dell'accesso

Per limitare questo accesso, rimuovi il ruolo Agente di servizio Transcoder dal servizio dell'account di servizio e sostituirlo con un accesso più granulare. Segui questi passaggi:

  1. Vai alla sezione Pagina IAM (scheda Autorizzazioni) nella console Google Cloud.
  2. Trova l'account di servizio con il ruolo Agente di servizio Transcoder e seleziona il pulsante di modifica.
  3. Elimina il ruolo Agente di servizio transcoder dall'account di servizio.
  4. Concedi l'accesso all'account di servizio per ogni singolo account Cloud Storage del bucket:
    1. Vai al browser Cloud Storage .
    2. Fai clic su un bucket.
    3. Seleziona la scheda Autorizzazioni.
    4. Fai clic su Aggiungi.
    5. Nella casella Nuove entità, digita il nome dell'account di servizio.
    6. In Ruolo, seleziona Amministratore oggetti di archiviazione.
    7. Fai clic su Salva. L'API Transcoder ora ha accesso al bucket.
  5. (Facoltativo) Concedi l'accesso all'account di servizio per tutti Argomento Pub/Sub:
    1. Vai agli argomenti Pub/Sub .
    2. Fai clic su un argomento.
    3. Seleziona la scheda Autorizzazioni.
    4. Fai clic su Aggiungi entità.
    5. Nella casella Nuove entità, digita il nome dell'account di servizio.
    6. In Ruolo, seleziona Publisher Pub/Sub.
    7. Fai clic su Salva. L'API Transcoder ora ha accesso all'argomento.