Kontrol akses

Anda dapat membagikan aset atau kuota komputasi project yang mengaktifkan Earth Engine dengan pengguna Earth Engine lain di level project. Aset atau komputasi Earth Engine dapat dibagikan kepada pengguna lain atau grup pengguna. Jika Anda ingin membagikannya kepada sekelompok pengguna, Buat Google Grup baru dan catat emailnya (tersedia dari link Tentang di halaman grup). Halaman ini menjelaskan cara memberikan akses ke resource, baik untuk individu maupun grup, dan Peran dan Izin yang diperlukan untuk berbagai aktivitas.

Menetapkan penggunaan layanan Earth Engine

Untuk menggunakan Earth Engine API di project Cloud, API harus diaktifkan di project, dan pengguna harus memiliki setidaknya izin dalam peran Earth Engine Resource Viewer (pelajari lebih lanjut Peran IAM Earth Engine standar). Selain itu, pengguna harus memiliki setidaknya izin serviceusage.services.use di project. Izin tersebut dapat diberikan melalui peran Pemilik atau Editor project, atau melalui peran Service Usage Consumer tertentu. Error akan ditampilkan jika pengguna tidak memiliki izin Earth Engine dan izin Penggunaan Layanan yang diperlukan di project yang dipilih.

Menetapkan izin aset

Menetapkan izin tingkat aset

Ada beberapa opsi untuk memperbarui izin di tingkat aset.

  • Gunakan Pengelola Aset di Code Editor.
  • Gunakan command line Earth Engine.
  • Gunakan library klien, misalnya, ee.data.setAssetAcl().
  • Atau, panggil REST API secara langsung.

Menetapkan izin aset tingkat project

Berbagi di tingkat project akan menetapkan izin pada semua aset di project Cloud yang mengaktifkan Earth Engine sekaligus.

Anda dapat membagikan aset di tingkat project dengan menetapkan peran Identity and Access Management (IAM) yang sesuai di halaman admin IAM project Anda. Ada Peran IAM Earth Engine Standar untuk berbagi aset dan resource Earth Engine. Lihat Memahami Peran untuk ringkasan yang lebih umum tentang peran IAM.

Saat pengguna lain mencoba mengakses salah satu aset Anda, izin akan diperiksa terlebih dahulu di tingkat aset. Jika izin belum ditetapkan di tingkat aset atau pemeriksaan gagal (yaitu, tidak ada akses), izin akan diperiksa di tingkat project.

Menetapkan izin level project

Untuk menetapkan izin di tingkat project, tetapkan peran IAM project kepada pengguna atau grup pengguna:

  1. Buka halaman IAM di konsol Google Cloud
    Buka Halaman IAM
    Atau, arahkan kursor ke nama project Anda di tab Assets pada Code Editor, lalu klik ikon .
  2. Klik select a project, lalu pilih project Anda (Anda seharusnya sudah berada di halaman tersebut jika membuka halaman IAM dari Code Editor).
  3. Klik TAMBAHKAN di bagian atas dan tambahkan email individu atau grup sebagai anggota baru, atau klik ikon di samping anggota yang ada dalam project.
  4. Di menu drop-down Peran, telusuri peran Earth Engine Resource yang ingin Anda berikan. Lihat Peran IAM Earth Engine yang telah ditetapkan untuk mengetahui detailnya.
  5. Klik tombol SIMPAN.

Kontrol Layanan VPC

Earth Engine mendukung Kontrol Layanan VPC, fitur keamanan Google Cloud yang membantu pengguna mengamankan resource mereka dan mengurangi risiko pemindahan data yang tidak sah. Menambahkan resource ke perimeter layanan VPC memungkinkan kontrol yang lebih besar atas operasi baca dan tulis data.

Pelajari lebih lanjut fitur dan konfigurasi VPC-SC.

Batasan

Mengaktifkan Kontrol Layanan VPC untuk resource Anda memiliki beberapa batasan, dan kami memberikan contoh solusinya:

Batasan Contoh alternatif
Code Editor tidak didukung dan Kontrol Layanan VPC tidak akan mengizinkan penggunaannya dengan resource dan klien di dalam perimeter layanan. Gunakan Earth Engine Python API bersama dengan library geemap.
Aset lama tidak dilindungi oleh Kontrol Layanan VPC. Gunakan aset yang disimpan di project Cloud.
Ekspor ke Google Drive tidak didukung oleh Kontrol Layanan VPC.
Earth Engine Apps tidak didukung untuk resource dan klien di dalam perimeter layanan. Tidak ada solusi yang tersedia.

Menggunakan Earth Engine dengan resource di dalam perimeter layanan VPC yang aman hanya tersedia untuk paket harga Profesional dan Premium. Mencoba menggunakan Earth Engine API dengan project yang diamankan VPC-SC yang terkait dengan paket harga Dasar akan menghasilkan error. Untuk mempelajari harga Earth Engine lebih lanjut, kunjungi dokumentasi resmi.

Informasi selengkapnya tentang Kontrol Layanan VPC dan batasannya dapat ditemukan di Produk dan batasan yang didukung.

Peran dan izin

Bagian berikut menjelaskan izin dan peran yang diperlukan untuk melakukan aktivitas dan mengakses resource Earth Engine. Lihat dokumentasi Google Cloud untuk mempelajari lebih lanjut izin dan peran project Cloud.

Peran IAM Earth Engine yang telah ditetapkan

Earth Engine menyediakan peran bawaan yang memungkinkan berbagai tingkat kontrol atas resource Earth Engine dalam project. Peran tersebut adalah:

Peran Judul Deskripsi
roles/earthengine.viewer Earth Engine Resource Viewer Memberikan izin untuk melihat dan mencantumkan Aset dan tugas.
roles/earthengine.writer Earth Engine Resource Writer Memberikan izin untuk membaca, membuat, mengubah, dan menghapus aset, mengimpor gambar dan tabel, membaca dan memperbarui tugas, melakukan komputasi interaktif, dan membuat tugas ekspor yang berjalan lama.
roles/earthengine.admin Earth Engine Admin Memberikan izin untuk semua resource Earth Engine, termasuk mengubah kontrol akses untuk aset Earth Engine.
roles/earthengine.appsPublisher Penayang Aplikasi Earth Engine Memberikan izin untuk membuat akun layanan yang akan digunakan dengan aplikasi Earth Engine. Juga memberikan izin untuk mengedit dan menghapus aplikasi milik Project di Cloud Project.

Perhatikan bahwa Anda dapat menetapkan peran primitif atau kustom jika peran Earth Engine yang telah ditetapkan tidak memenuhi kebutuhan Anda. Anda dapat melihat kumpulan izin yang terkait dengan setiap peran dari halaman Peran IAM dengan memfilter ke peran tertentu dan mengklik peran tersebut.

Akses penuh ke Earth Engine API

Untuk memberi pengguna akses penuh ke layanan Earth Engine, baik melalui REST API secara langsung, melalui Code Editor, atau melalui library klien, pengguna akan memerlukan izin untuk melakukan operasi seperti:

  • Menjalankan ekspresi Earth Engine
  • Menjalankan komputasi batch (ekspor)
  • Mendapatkan hasil interaktif (peta online, thumbnail, diagram, dll.)
  • Membuat/menghapus aset Earth Engine
  • Menggunakan Autentikasi OAuth melalui Library Klien untuk terhubung ke Earth Engine
Perlu izin
  • clientauthconfig.clients.listWithSecrets
  • earthengine.assets.get
  • earthengine.assets.getIamPolicy
  • earthengine.assets.list
  • earthengine.computations.create
  • earthengine.operations.get
  • earthengine.operations.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.services.use
Peran yang disarankan
  • Service Usage Consumer (roles/serviceusage.serviceUsageConsumer) DAN salah satu dari:
    • Earth Engine Resource Viewer (roles/earthengine.viewer) ATAU
    • Earth Engine Resource Writer (roles/earthengine.writer) ATAU
    • Earth Engine Resource Admin (roles/earthengine.admin)
  • OAuth Config Editor (roles/oauthconfig.editor) juga diperlukan bagi pengguna yang mengakses Earth Engine melalui lingkungan notebook dan menggunakan Notebook Authenticator. Lihat Autentikasi notebook Colab atau JupyterLab untuk mengetahui detail selengkapnya.
Catatan Google Cloud mewajibkan peran Service Usage Consumer untuk menggunakan project sebagai project aktif saat memanggil API, dan ee.Initialize(project=X) akan gagal tanpa izin ini di project X. Selain itu, Anda dapat memilih project ini di Cloud Console untuk menampilkan penggunaan resource Anda.

Hanya berbagi aset

Berikan salah satu Peran IAM Earth Engine Standar kepada pengguna dengan izin minimum untuk melakukan aktivitas yang diperlukan. Perhatikan bahwa pengguna tidak akan dapat menggunakan resource project tanpa izin serviceusage yang diperlukan.

Pengelolaan project

Mencantumkan dan menampilkan project yang tersedia

Hal ini terjadi saat menggunakan Code Editor untuk menjelajahi project yang tersedia.

Perlu izin
  • resourcemanager.projects.get
  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get (tidak umum)
Peran yang disarankan
  • Viewer (roles/viewer) ATAU
    Earth Engine Resource Viewer (roles/earthengine.viewer) di project yang relevan ATAU
    Browser (roles/browser, direkomendasikan untuk kasus organisasi lanjutan)
  • Folder Viewer (roles/resourcemanager.folderViewer) di folder yang relevan

Memilih project untuk digunakan di Code Editor

Perlu izin
  • resourcemanager.projects.get
  • serviceusage.services.get
Jika project belum disiapkan sebelumnya

Saat pertama kali memilih project melalui Editor Kode, project akan diinisialisasi untuk digunakan dengan Earth Engine. Jika belum dilakukan sebelumnya, Anda memerlukan peran ini agar penyiapan berhasil.

  • resourcemanager.projects.update DAN
  • serviceusage.services.enable
Peran yang disarankan
  • Viewer (roles/viewer) ATAU
  • Earth Engine Resource Viewer (roles/earthengine.viewer) DAN
    Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)
Peran tambahan (jika project belum disiapkan sebelumnya)
  • Editor (roles/editor) ATAU
  • Project Mover (roles/resourcemanager.projectMover) DAN
    Project IAM Admin (roles/resourcemanager.projectIamAdmin) DAN
    Service Usage Admin (roles/serviceusage.serviceUsageAdmin)

Membuat project melalui Editor Kode

Perlu izin
  • resourcemanager.projects.get
  • resourcemanager.projects.create
  • resourcemanager.projects.update
  • serviceusage.services.get
  • serviceusage.services.enable
Peran yang disarankan
  • Editor (roles/editor) ATAU
  • Project Mover (roles/resourcemanager.projectMover) DAN
    Project Creator (roles/resourcemanager.projectCreator) DAN
    Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
Catatan Organisasi Anda mungkin tidak memberi Anda peran Editor, sehingga peran yang lebih terperinci mungkin diperlukan. Project Mover diperlukan untuk mencakup izin projects.update.

Pendaftaran Project Komersial

Izin berikut berkaitan dengan pendaftaran project untuk penggunaan berbayar.

Perlu izin
Akun penagihan
  • billing.subscriptions.list
Selain itu:
  • billing.accounts.get (untuk membuat paket Terbatas baru)
  • billing.subscriptions.create (untuk membuat paket Basic atau Professional baru)
Project cloud
  • earthengine.computations.create
  • earthengine.config.update
  • serviceusage.services.get
  • serviceusage.services.enable
Peran yang disarankan
Akun penagihan
  • Billing Account Viewer (roles/billing.viewer), untuk membuat paket Terbatas baru
  • Billing Account Administrator (roles/billing.admin), untuk membuat paket Dasar atau Profesional baru
Project cloud
  • Earth Engine Resource Writer (roles/earthengine.writer)
  • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)

Pengelolaan paket Earth Engine komersial

Izin berikut berkaitan dengan pengelolaan paket harga Earth Engine.

Izin yang diperlukan
di akun penagihan
  • billing.subscriptions.create (untuk mengubah paket Earth Engine)
  • billing.subscriptions.list (untuk melihat paket Earth Engine saat ini)
Peran yang disarankan
di akun penagihan
  • Billing Account Viewer (roles/billing.viewer), untuk melihat paket Earth Engine saat ini
  • Billing Account Administrator (roles/billing.admin), untuk mengubah paket Earth Engine

Pengelolaan tugas batch

Izin berikut berkaitan dengan konfigurasi batas per project pada konkurensi tugas batch. Fitur ini hanya tersedia untuk pengguna komersial Earth Engine.

Melihat batas tugas batch tingkat project

Izin yang diperlukan
di akun Cloud 		earthengine.config.get

Menetapkan batas tugas batch level project

Izin yang diperlukan
di akun Cloud 		earthengine.config.update
Catatan: Izin ini juga mencakup melihat batas tingkat paket yang dikonfigurasi di akun penagihan.
Izin yang diperlukan
di akun penagihan 		billing.subscriptions.list

Pengelolaan aplikasi

Menampilkan info aplikasi

Perlu izin
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getIamPolicy, jika aplikasi dibatasi (kurang umum)
Peran yang disarankan Pelihat (roles/viewer) ATAU
Penayang Aplikasi Earth Engine (roles/earthengine.appsPublisher)

Memublikasikan/Memperbarui aplikasi

Perlu izin
  • iam.serviceAccounts.get
  • iam.serviceAccounts.create
  • iam.serviceAccounts.enable
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy
  • iam.serviceAccounts.disable, jika aplikasi dipindahkan dari satu project ke project lain (tidak umum)
Peran yang disarankan Earth Engine Apps Publisher (roles/earthengine.appsPublisher) ATAU
Service Account Admin (roles/iam.serviceAccountAdmin)
Catatan
  • Selain itu, akun layanan Aplikasi Earth Engine mengidentifikasi diri mereka ke server Earth Engine dengan menampilkan token akses OAuth. Oleh karena itu, identitas tertentu ditambahkan selama pembuatan aplikasi sebagai Service Account Token Creator (roles/iam.serviceAccountTokenCreator) di akun layanan.
  • Untuk Aplikasi Earth Engine publik, identitas yang diberi peran tersebut adalah earth-engine-public-apps@appspot.gserviceaccount.com, dan untuk aplikasi yang dibatasi, identitasnya adalah Grup Google Pembatasan Akses yang dikonfigurasi oleh pembuat aplikasi.

Menghapus dan aplikasi

Perlu izin iam.serviceAccounts.disable
Peran yang disarankan Earth Engine Apps Publisher (roles/earthengine.appsPublisher) ATAU
Service Account Admin (roles/iam.serviceAccountAdmin)