Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Os papéis determinam quais serviços e ações estão disponíveis para uma conta de usuário ou conta de serviço. Os seguintes tipos de papéis concedem acesso ao App Engine:
Papéis básicos são válidos para todos os serviços e recursos de um
projeto, incluindo, entre outros, o App Engine. Por exemplo, uma conta
com o papel de Editor pode alterar as configurações do App Engine e do Cloud
Storage.
Papéis predefinidos do App Engine, que fornecem
acesso granular a plataforma. Cada serviço do
projeto do Google Cloud fornece os próprios papéis predefinidos. Por exemplo, uma
conta que só tem o papel de Implantador do App Engine
pode implantar aplicativos da plataforma, mas não pode ver ou criar objetos
no Cloud Storage. Essa conta também precisa de um papel predefinido
do Cloud Storage
específico para criar ou visualizar objetos no Cloud Storage.
Papéis personalizados: concedem acesso granular de acordo com uma lista de permissões especificadas pelo usuário.
No caso de projetos menores com necessidades menos complexas,
use os papéis básicos. Para ter controles de acesso mais detalhados, use os papéis predefinidos.
Papéis básicos
Papéis básicos se aplicam a todos os serviços e recursos de um projeto. Por exemplo, uma
conta com o papel de Editor pode alterar as configurações do App Engine e
do Cloud Storage.
Papel
Permissões do Console do Google Cloud
Permissões de ferramentas
Owner
Necessário para criar aplicativos do App Engine. Tem todos os privilégios de leitor e editor, além de poder ver o código-fonte implantado, convidar usuários, alterar papéis de usuários e excluir um aplicativo.
Necessário para criar aplicativos do App Engine. Também pode implantar o
código do aplicativo e atualizar todas as configurações.
Editor
Visualizar as informações e editar as configurações do aplicativo.
Implantar o código do aplicativo, atualizar índices/filas/crons.
Viewer
Visualizar as informações do aplicativo.
Solicitar registros
Papéis predefinidos do App Engine
Role
Permissions
App Engine Admin
(roles/appengine.appAdmin)
Read/Write/Modify access to all application configuration and settings.
To deploy new versions, a principal must have the
Service Account User
(roles/iam.serviceAccountUser) role on the assigned App Engine
service account, and the Cloud Build Editor
(roles/cloudbuild.builds.editor), and Cloud Storage Object Admin
(roles/storage.objectAdmin) roles on the project.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.applications.update
appengine.instances.*
appengine.instances.delete
appengine.instances.enableDebug
appengine.instances.get
appengine.instances.list
appengine.memcache.addKey
appengine.memcache.flush
appengine.memcache.get
appengine.memcache.update
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.runtimes.actAsAdmin
appengine.services.*
appengine.services.delete
appengine.services.get
appengine.services.list
appengine.services.update
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
artifactregistry.projectsettings.get
artifactregistry.repositories.deleteArtifacts
artifactregistry.repositories.downloadArtifacts
artifactregistry.repositories.uploadArtifacts
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Creator
(roles/appengine.appCreator)
Ability to create the App Engine resource for the project.
Lowest-level resources where you can grant this role:
Project
appengine.applications.create
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Viewer
(roles/appengine.appViewer)
Read-only access to all application configuration and settings.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
artifactregistry.projectsettings.get
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Code Viewer
(roles/appengine.codeViewer)
Read-only access to all application configuration, settings, and deployed
source code.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.getFileContents
appengine.versions.list
artifactregistry.projectsettings.get
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Managed VM Debug Access
(roles/appengine.debugger)
Ability to read or manage v2 instances.
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.*
appengine.instances.delete
appengine.instances.enableDebug
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Deployer
(roles/appengine.deployer)
Read-only access to all application configuration and settings.
To deploy new versions, you must also have the
Service Account User
(roles/iam.serviceAccountUser) role on the assigned App Engine
service account, and the Cloud
Build Editor (roles/cloudbuild.builds.editor), and Cloud Storage Object Admin
(roles/storage.objectAdmin) roles on the project.
Cannot modify existing versions other than deleting versions that are not receiving traffic.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.get
appengine.services.list
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
artifactregistry.projectsettings.get
artifactregistry.repositories.deleteArtifacts
artifactregistry.repositories.downloadArtifacts
artifactregistry.repositories.uploadArtifacts
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Memcache Data Admin
(roles/appengine.memcacheDataAdmin)
Can get, set, delete, and flush App Engine Memcache items.
appengine.applications.get
appengine.memcache.addKey
appengine.memcache.flush
appengine.memcache.get
appengine.memcache.update
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Service Admin
(roles/appengine.serviceAdmin)
Read-only access to all application configuration and settings.
Write access to module-level and version-level settings. Cannot deploy a new version.
Lowest-level resources where you can grant this role:
Project
appengine.applications.get
appengine.applications.listRuntimes
appengine.instances.delete
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.operations.get
appengine.operations.list
appengine.services.*
appengine.services.delete
appengine.services.get
appengine.services.list
appengine.services.update
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
artifactregistry.projectsettings.get
resourcemanager.projects.get
resourcemanager.projects.list
App Engine Standard Environment Service Agent
(roles/appengine.serviceAgent)
Give App Engine Standard Envirnoment service account access to managed resources. Includes access to service accounts.
Os papéis predefinidos do App Engine fornecem opções avançadas
de controle de acesso.
Estes papéis concedem acesso apenas ao App Engine. Se o projeto inclui
outros serviços, como o Cloud Storage ou Cloud SQL, é necessário atribuir
papéis adicionais para permitir o acesso aos outros serviços.
Comparação dos papéis predefinidos do App Engine
A tabela a seguir fornece uma comparação completa das capacidades de cada papel predefinido do App Engine.
Capacidade
Administrador do App Engine
Administrador de serviço do App Engine
Implantador do App Engine
Leitor do App Engine
Leitor de código do App Engine
Listar todos os serviços, versões e instâncias
Sim
Sim
Sim
Sim
Sim
Ver todas as configurações de aplicativo, serviço, versão e instância
Sim
Sim
Sim
Sim
Sim
Ver métricas do ambiente de execução, como uso de recursos, informações do carregamento e informações de erro
Sim
Sim
Sim
Sim
Sim
Ver o código-fonte do app
Não
Não
Não
Não
Sim
Implantar uma nova versão de um aplicativo
Sim, se você também conceder o papel de usuário da conta de serviço
Não
Sim, se você também conceder o papel de usuário da conta de serviço
Usar SSH para se conectar a uma instância de VM no ambiente flexível
Sim
Não
Não
Não
Não
Encerrar uma instância
Sim
Não
Não
Não
Não
Desativar e reativar o aplicativo do App Engine
Sim
Não
Não
Não
Não
Acessar gerenciadores que tenham uma restrição login:admin (somente ambientes de execução de primeira geração)
Sim
Não
Não
Não
Não
Atualizar regras de expedição
Sim
Não
Não
Não
Não
Atualizar configurações de DoS
Sim
Não
Não
Não
Não
Atualizar programações de cron
Não
Não
Não
Não
Não
Atualizar a expiração padrão de cookies
Sim
Não
Não
Não
Não
Atualizar referenciadores
Sim
Não
Não
Não
Não
Atualizar remetentes autorizados da API de e-mail
Sim
Não
Não
Não
Não
Para detalhes sobre as permissões de IAM específicas que são concedidas por cada papel, consulte a seção Papéis da API Admin.
Papel recomendado para a implantação de aplicativos
Para uma conta responsável apenas por implantar novas versões de um app,
recomendamos que você conceda os seguintes papéis:
Papel de implantador do App Engine (roles/appengine.deployer)
Papel usuário da conta de serviço (roles/iam.serviceAccountUser)
O papel Usuário da conta de serviço
permite que a conta personifique a conta de serviço padrão do App Engine
durante o processo de implantação.
Se a conta usar comandos gcloud para a implantação, adicione também os papéis a seguir:
Administrador de objetos do Storage (roles/storage.objectAdmin)
Editor do Cloud Build (roles/cloudbuild.builds.editor)
Para acessar dados armazenados no Datastore ou atualizar
índices, ative o papel Administrador de índice do Cloud Datastore (roles/datastore.indexAdmin).
Separação de tarefas de implantação e de roteamento de tráfego
Muitas organizações preferem separar as tarefas de implantação da versão de um aplicativo e de intensificação do tráfego dessa nova versão. Assim, essas tarefas são feitas por pessoas com cargos diferentes. Os papéis de administrador de serviço e
de implantador do App Engine já incluem essa separação:
Implantador do App Engine e as funções de usuário da conta de serviço: as contas são limitadas a
implantar novas versões e excluir versões antigas que não veiculam mais tráfego.
A conta que tem esses papéis não poderá configurar o tráfego para nenhuma versão
nem alterar configurações no nível do aplicativo, como regras de expedição ou domínio de
autenticação.
Papel de administrador de serviço do App Engine: as contas não conseguem implantar uma nova versão de
aplicativo nem alterar configurações no nível do aplicativo. No entanto, elas têm privilégios para alterar as propriedades dos serviços e versões atuais, incluindo alterar quais versões terão capacidade de atender o tráfego. O papel Administrador de serviço do App Engine é ideal para um departamento de operações/TI que lida com o aumento do tráfego nas versões recém-implantadas.
Limitações dos papéis predefinidos
Nenhum dos papéis predefinidos do App Engine concede acesso aos itens a seguir:
ver e fazer o download de registros de aplicativos;
ver os gráficos do Monitoring no Console do Google Cloud;
ativar e desativar o faturamento;
executar verificações de segurança no Cloud Security Scanner;
acessar configurações ou dados armazenados no Datastore, no Task Queues, no Memcache, no Cloud Search ou em qualquer outro produto de armazenamento do Cloud Platform.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-29 UTC."],[[["\u003cp\u003eRoles define the access levels for user and service accounts in App Engine, including basic, predefined, and custom options.\u003c/p\u003e\n"],["\u003cp\u003eBasic roles provide broad access across all project services, while predefined App Engine roles offer granular access specifically within App Engine.\u003c/p\u003e\n"],["\u003cp\u003ePredefined roles, such as App Engine Deployer, Admin, and Viewer, grant varying levels of permissions, from deploying apps to read-only access.\u003c/p\u003e\n"],["\u003cp\u003eFor deploying new versions, the recommended setup includes the App Engine Deployer role, and Service Account User role, along with additional roles if using the gcloud commands, in order to impersonate the default App Engine service account during deployment.\u003c/p\u003e\n"],["\u003cp\u003eSeparation of deployment and traffic management can be achieved using App Engine Deployer roles for deployments and App Engine Service Admin roles for controlling traffic and existing service settings.\u003c/p\u003e\n"]]],[],null,["# Roles that grant access to App Engine\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\n\nRoles determine which services and actions are available to a user account or\nservice account. The following types of roles grant access to App Engine:\n\n- [Basic roles](#basic_roles) which apply to all services and resources in a\n project, including but not limited App Engine. For example, an account\n with the Editor role can change App Engine settings as well as Cloud\n Storage settings.\n\n- [Predefined App Engine roles](#predefined_roles), which provide\n granular access to App Engine. Each service in your\n Google Cloud project provides its own predefined roles. For example, an\n account that only has the App Engine Deployer role\n can deploy App Engine apps but cannot view or create objects\n in Cloud Storage. Such an account would also need a specific [Cloud Storage\n predefined role](/iam/docs/understanding-roles#cloud-storage-roles)\n to create or view objects in Cloud Storage.\n\n- [Custom roles](/iam/docs/understanding-custom-roles),\n which provide granular access according to a list of permissions you specify.\n\nYou can use basic roles when you are working on smaller projects that have\nless complex needs. For more fine-tuned access controls, use predefined roles.\n\nBasic roles\n-----------\n\nBasic roles apply to all services and resources in a project. For example, an\naccount in the Editor role can change App Engine settings as well as\nCloud Storage settings.\n\nPredefined App Engine roles\n---------------------------\n\nThe predefined roles for App Engine provide you with finer grained options for access control.\n\n\u003cbr /\u003e\n\n*These roles only provide access to App Engine.* If your project includes\nother services, such as Cloud Storage or Cloud SQL, you will need to assign\n[additional roles](/iam/docs/understanding-roles#predefined_roles) to enable access to the other services.\n\n### Comparison of App Engine predefined roles\n\nThe following table provides a complete comparison of the capabilities of each\npredefined App Engine role.\n\n| **Note:** The predefined roles are enforced in the [Google Cloud console](https://console.cloud.google.com/iam-admin/iam), the [Admin API](/appengine/docs/admin-api/access-control), and other tooling that requires access, including the [deployment commands](/appengine/docs/standard/testing-and-deploying-your-app#deploying_your_application).\n\nFor details about the specific IAM permissions that are granted by each role,\nsee the [Roles](/appengine/docs/admin-api/access-control#roles) section of the\nAdmin API.\n\nRecommended role for application deployment\n-------------------------------------------\n\nFor an account that is responsible *only* for deploying new versions of an app,\nwe recommend that you grant the following roles:\n\n- App Engine Deployer role (`roles/appengine.deployer`)\n- Service Account User role (`roles/iam.serviceAccountUser`)\n\n The [Service Account User role](/iam/docs/service-account-permissions#user-role)\n enables the account to impersonate the default App Engine service account\n during the deployment process.\n-\n If the account uses `gcloud` commands to deploy, add these roles as well:\n\n - Storage Object Admin (`roles/storage.objectAdmin`)\n - Cloud Build Editor (`roles/cloudbuild.builds.editor`)\n- To access data stored in Datastore, or update\n indexes, enable the Cloud Datastore Index Admin role (`roles/datastore.indexAdmin`).\n\n| **Note:** If you have granted an account the App Engine Admin role, you don't need to grant it the App Engine Deployer role, because the Admin role holds the same relevant permissions as the Deployer role, along with additional administrative privileges. We recommend using the App Engine Deployer role for accounts that are responsible only for deploying new versions.\n\nFor details about how to grant the required permissions, see\n[Creating a user account](/appengine/docs/standard/access-control#user_account).\n\n### Separation of deployment and traffic routing duties\n\nMany organizations prefer to separate the task of deploying an application\nversion from the task of ramping up traffic to the newly created version, and to\nhave these tasks done by different job functions. The App Engine Deployer and\nApp Engine Service Admin roles provide this separation:\n\n- App Engine Deployer plus Service Account User roles - Accounts are limited to deploying new versions and deleting old versions that are not serving traffic. The account with these roles won't be able to configure traffic to any version nor change application-level settings such as dispatch rules or authentication domain.\n- App Engine Service Admin role - Accounts cannot deploy a new version of an app nor change application-level settings. However, those accounts have privileges to change the properties of existing services and versions, including changing which versions can serve traffic. The App Engine Service Admin role is ideal for an Operations/IT department that handles ramping up traffic to newly deployed versions.\n\n\n| **Note** : Accounts with the App Engine Deployer role can overwrite a version that is serving traffic by deploying a new version with the same name (using the `--version` flag).\n\n\u003cbr /\u003e\n\n### Limitations of the predefined roles\n\nNone of the App Engine predefined roles grant access to the following:\n\n- View and download application logs.\n- View Monitoring charts in the Google Cloud console.\n- Enable and Disable billing.\n- Run security scans in Cloud Security Scanner.\n- Access configuration or data stored in Datastore, Task Queues, Cloud Search or any other Cloud Platform storage product."]]
