Como controlar quem pode ativar a API

As chaves de API são associadas ao projeto Google Cloud em que foram criadas. Se a API exigir uma chave de API, você terá que fornecer aos usuários da API uma chave do projeto em que criou o serviço Cloud Endpoints ou permitir que eles ativem a API nos próprios projetos do Google Cloude criem uma chave de API. Nesta página, mostraremos como conceder a permissão de que os usuários precisam para ativar a API.

conceder acesso

O Endpoints usa o papel Identity and Access Management (IAM) Consumidor de serviço para permitir que alguém que não seja membro do projeto Google Cloud possa ativar a API no projeto Google Cloud próprio. Esta seção mostra como conceder acesso usando o consoleGoogle Cloud ou a CLI do Google Cloud.

Console doGoogle Cloud

  1. No Google Cloud console, acesse a página Endpoints > Services do seu projeto.

    Ir para a página Serviços do Endpoints

  2. Se você tiver mais de uma API, clique no nome da API à qual você quer conceder acesso.
  3. Se o painel lateral Permissões não estiver aberto, clique em Mostrar painel de permissões.
  4. No campo Adicionar principal, insira o endereço de e-mail da pessoa ou do Grupo do Google a que você quer conceder acesso.
  5. No menu suspenso Selecionar um papel, escolha Gerenciamento de serviço > Consumidor do serviço.
  6. Clique em Salvar.
  7. Adicione quantos membros e papéis forem necessários.
  8. Entre em contato com os usuários ou grupos que você adicionou e informe que eles podem ativar a API nos próprios projetos do Google Cloud . Consulte Ativar uma API no seu projeto do Google Cloud para informações sobre como ativar um serviço em APIs e serviços.

gcloud

  1. Abra o Cloud Shell ou, se você tiver a CLI do Google Cloud instalada, abra uma janela de terminal.
    • Se você está concedendo acesso a um usuário individual: 
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
      --member='user:EMAIL-NAME@gmail.com' \
      --role='roles/servicemanagement.serviceConsumer'
    • Se você está concedendo acesso a um grupo do Google: 
      gcloud endpoints services add-iam-policy-binding [SERVICE-NAME] \
      --member='group:GROUP-NAME@googlegroups.com' \
      --role='roles/servicemanagement.serviceConsumer'
  2. Entre em contato com os usuários ou grupos que você adicionou e informe que eles podem ativar a API nos próprios projetos do Google Cloud . Consulte Ativar uma API no seu projeto do Google Cloud para informações sobre como ativar um serviço nas APIs e serviços.

Como revogar o acesso

Para revogar o acesso à API, remova o papel Consumidor de serviços de um usuário ou grupo que antes tinha essa função. Com o acesso revogado, o usuário ou grupo não poderá ativar sua API.

Esta seção mostra como revogar o acesso usando o console Google Cloud ou a CLI do Google Cloud.

Console doGoogle Cloud

  1. No Google Cloud console, acesse a página Endpoints > Services do Google Cloud seu projeto.

    Ir para a página Serviços do Endpoints

  2. Se você tiver mais de uma API, clique no nome da API da qual você quer revogar o acesso.
  3. Se o painel lateral Permissões não estiver aberto, clique em Permissões.
  4. Clique no cartão Papel ao qual o membro pertence.
  5. Clique em Excluir .

gcloud

  • Se você está revogando o acesso de um usuário individual:
    gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
      --member='user:'EMAIL-NAME@gmail.com' --role='roles/servicemanagement.serviceConsumer'
  • Se você está revogando o acesso de um grupo do Google:
    gcloud endpoints services remove-iam-policy-binding [SERVICE-NAME] \
      --member='group:GROUP-NAME@googlegroups.com' \
      --role='roles/servicemanagement.serviceConsumer'

A seguir