Ressourcenzugriff steuern

Sie können die Assets oder das Rechenkontingent Ihres für Earth Engine aktivierten Projekts auf Projektebene mit anderen Earth Engine-Nutzern teilen. Earth Engine-Assets oder ‑Berechnungen können für einen anderen Nutzer oder eine andere Nutzergruppe freigegeben werden. Wenn Sie Inhalte für eine Gruppe von Nutzern freigeben möchten, erstellen Sie eine neue Google-Gruppe und notieren Sie sich die E-Mail-Adresse (auf der Gruppenseite über den Link „Über“ verfügbar). Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ressourcen für Einzelpersonen oder Gruppen gewähren und welche Rollen und Berechtigungen für verschiedene Aktivitäten erforderlich sind.

Earth Engine-Dienstnutzung festlegen

Wenn Sie die Earth Engine API in einem Cloud-Projekt verwenden möchten, muss die API für das Projekt aktiviert sein und der Nutzer muss mindestens die Berechtigungen in der Rolle Earth Engine Resource Viewer haben. Weitere Informationen zu vordefinierten Earth Engine-IAM-Rollen Außerdem muss der Nutzer mindestens die Berechtigung serviceusage.services.use für das Projekt haben. Diese Berechtigung kann über die Rollen Inhaber oder Bearbeiter des Projekts oder über die spezifische Rolle Service Usage-Nutzer erteilt werden. Es wird ein Fehler ausgegeben, wenn der Nutzer nicht die erforderlichen Earth Engine-Berechtigungen und Berechtigungen zur Dienstnutzung für das ausgewählte Projekt hat.

Asset-Berechtigungen festlegen

Berechtigungen auf Asset-Ebene festlegen

Es gibt mehrere Möglichkeiten, Berechtigungen auf Asset-Ebene zu aktualisieren.

  • Verwenden Sie den Asset-Manager im Code-Editor.
  • Earth Engine-Befehlszeile verwenden
  • Verwenden Sie eine Clientbibliothek, z. B. ee.data.setAssetAcl().
  • Oder rufen Sie die REST API direkt auf.

Berechtigungen für Assets auf Projektebene festlegen

Wenn Sie auf Projektebene freigeben, werden Berechtigungen für alle Assets in Ihrem für Earth Engine aktivierten Cloud-Projekt gleichzeitig festgelegt.

Sie können Assets auf Projektebene freigeben, indem Sie auf der IAM-Administrationsseite Ihres Projekts die entsprechende IAM-Rolle (Identity and Access Management) zuweisen. Es gibt vordefinierte Earth Engine-IAM-Rollen zum Freigeben von Earth Engine-Assets und ‑Ressourcen. Eine allgemeinere Übersicht über IAM-Rollen finden Sie unter Informationen zu Rollen.

Wenn ein anderer Nutzer versucht, auf eines Ihrer Assets zuzugreifen, werden die Berechtigungen zuerst auf Asset-Ebene geprüft. Wenn keine Berechtigungen auf Asset-Ebene festgelegt wurden oder die Prüfung fehlschlägt (d.h. kein Zugriff), werden die Berechtigungen auf Projektebene geprüft.

Berechtigungen auf Projektebene festlegen

Wenn Sie Berechtigungen auf Projektebene festlegen möchten, weisen Sie einem Nutzer oder einer Nutzergruppe eine IAM-Projektrolle zu:

  1. Öffnen Sie in der Google Cloud Console die Seite „IAM“ 
    Seite „IAM“ öffnen
    Oder halten Sie den Mauszeiger im Code-Editor auf dem Tab Assets (Assets) über den Namen Ihres Projekts und klicken Sie auf das Symbol .
  2. Klicken Sie auf Projekt auswählen und wählen Sie Ihr Projekt aus. Wenn Sie die IAM-Seite über den Code-Editor geöffnet haben, sollten Sie sich bereits dort befinden.
  3. Klicken Sie oben auf HINZUFÜGEN und fügen Sie die E‑Mail-Adresse der Einzelperson oder Gruppe als neues Mitglied hinzu. Alternativ können Sie auch neben dem vorhandenen Mitglied im Projekt auf das Symbol  klicken.
  4. Suchen Sie im Drop-down-Menü Rolle nach der Rolle Earth Engine-Ressource, die Sie zuweisen möchten. Weitere Informationen finden Sie unter Vordefinierte Earth Engine-IAM-Rollen.
  5. Klicken Sie auf SAVE (Speichern).

VPC Service Controls

Earth Engine unterstützt VPC Service Controls, eine Google Cloud-Sicherheitsfunktion, mit der Nutzer ihre Ressourcen schützen und das Risiko einer Daten-Exfiltration verringern können. Wenn Sie einem VPC-Dienstperimeter Ressourcen hinzufügen, können Sie Lese- und Schreibvorgänge für Daten besser steuern.

Weitere Informationen zu VPC-SC-Funktionen und -Konfiguration

Beschränkungen

Die Aktivierung von VPC Service Controls für Ihre Ressourcen ist mit einigen Einschränkungen verbunden, für die wir Beispiel-Workarounds bereitgestellt haben:

Beschränkung Beispiel für eine Alternative
Der Codeeditor wird nicht unterstützt und VPC Service Controls erlaubt nicht die Verwendung des Codeeditors mit Ressourcen und Clients innerhalb eines Dienstperimeters. Verwenden Sie die Earth Engine Python API zusammen mit der geemap-Bibliothek.
Legacy-Assets sind nicht durch VPC Service Controls geschützt. Assets verwenden, die in Cloud-Projekten gespeichert sind.
Exportieren nach Google Drive wird von VPC Service Controls nicht unterstützt.
Earth Engine-Apps werden für Ressourcen und Clients innerhalb eines Dienstperimeters nicht unterstützt. Es gibt keine Behelfslösung.

Die Verwendung von Earth Engine mit Ressourcen innerhalb eines gesicherten VPC-Dienstperimeters ist nur für die Preismodelle „Professional“ und „Premium“ verfügbar. Wenn Sie versuchen, die Earth Engine API mit einem VPC-SC-gesicherten Projekt zu verwenden, das einem Basic-Preismodell zugeordnet ist, wird ein Fehler ausgegeben. Weitere Informationen zu den Preisen für Earth Engine finden Sie in der offiziellen Dokumentation.

Weitere Informationen zu VPC Service Controls und den zugehörigen Einschränkungen finden Sie unter Unterstützte Produkte und Einschränkungen.

Rollen und Berechtigungen

In den folgenden Abschnitten werden die Berechtigungen und Rollen beschrieben, die zum Ausführen von Aktivitäten und zum Zugriff auf Earth Engine-Ressourcen erforderlich sind. Weitere Informationen zu Cloud-Projektberechtigungen und Rollen finden Sie in der Google Cloud-Dokumentation.

Vordefinierte Earth Engine-IAM-Rollen

Earth Engine bietet vordefinierte Rollen, die unterschiedliche Kontrollgrade für Earth Engine-Ressourcen in einem Projekt ermöglichen. Folgende Rollen sind verfügbar:

Rolle Titel Beschreibung
roles/earthengine.viewer Betrachter von Earth Engine-Ressourcen Berechtigung zum Ansehen und Auflisten von Assets und Aufgaben.
roles/earthengine.writer Earth Engine Resource Writer Berechtigung zum Lesen, Erstellen, Ändern und Löschen von Assets, zum Importieren von Bildern und Tabellen, zum Lesen und Aktualisieren von Aufgaben, zum Ausführen interaktiver Berechnungen und zum Erstellen von Exportaufgaben mit langer Ausführungszeit.
roles/earthengine.admin Earth Engine-Administrator Gewährt Berechtigungen für alle Earth Engine-Ressourcen, einschließlich des Änderns der Zugriffssteuerung für Earth Engine-Assets.
roles/earthengine.appsPublisher Publisher von Earth Engine-Anwendungen Ermöglicht das Erstellen eines Dienstkontos zur Verwendung mit einer Earth Engine-App. Gewährt außerdem die Berechtigung zum Bearbeiten und Löschen von Apps, die dem Projekt gehören, im Cloud-Projekt.

Wenn die vordefinierten Earth Engine-Rollen nicht Ihren Anforderungen entsprechen, können Sie eine einfache oder benutzerdefinierte Rolle festlegen. Sie können das Berechtigungsbündel für jede Rolle auf der Seite IAM-Rollen aufrufen, indem Sie nach einer bestimmten Rolle filtern und darauf klicken.

Vollständiger Zugriff auf die Earth Engine API

Damit Nutzer vollen Zugriff auf den Earth Engine-Dienst haben, entweder direkt über die REST API, über den Codeeditor oder über eine Clientbibliothek, benötigen sie die Berechtigung, Vorgänge wie die folgenden auszuführen:

  • Earth Engine-Ausdrücke ausführen
  • Batch-Berechnungen (Exporte) ausführen
  • Interaktive Ergebnisse erhalten (Onlinekarten, Miniaturansichten, Diagramme usw.)
  • Earth Engine-Assets erstellen/löschen
  • OAuth-Authentifizierung über eine Clientbibliothek verwenden, um eine Verbindung zu Earth Engine herzustellen
Berechtigungen erforderlich
  • clientauthconfig.clients.listWithSecrets
  • earthengine.assets.get
  • earthengine.assets.getIamPolicy
  • earthengine.assets.list
  • earthengine.computations.create
  • earthengine.operations.get
  • earthengine.operations.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.services.use
Vorgeschlagene Rollen
  • Service Usage-Nutzer (roles/serviceusage.serviceUsageConsumer) UND eine der folgenden Rollen:
    • Betrachter von Earth Engine-Ressourcen (roles/earthengine.viewer) ODER
    • Earth Engine Resource Writer (roles/earthengine.writer) ODER
    • Earth Engine-Ressourcenadministrator (roles/earthengine.admin)
  • Der OAuth-Konfigurationsbearbeiter (roles/oauthconfig.editor) ist zusätzlich für Nutzer erforderlich, die über eine Notebook-Umgebung auf Earth Engine zugreifen und den Notebook Authenticator verwenden. Weitere Informationen finden Sie unter Authentifizierung für Colab- oder JupyterLab-Notebooks.
Hinweise Für Google Cloud ist die Rolle Service Usage Consumer erforderlich, um das Projekt beim Aufrufen von APIs als aktives Projekt zu verwenden. Ohne diese Berechtigung für Projekt X schlägt ee.Initialize(project=X) fehl. Außerdem können Sie dieses Projekt dann in der Cloud Console auswählen, um die Nutzung von Ressourcen anzusehen.

Nur Asset-Freigabe

Weisen Sie dem Nutzer eine der vordefinierten Earth Engine-IAM-Rollen mit den Mindestberechtigungen zu, die für die erforderliche Aktivität erforderlich sind. Nutzer können Projektressourcen nur nutzen, wenn sie die erforderlichen serviceusage-Berechtigungen haben.

Projektmanagement

Verfügbare Projekte auflisten und anzeigen

Dies geschieht, wenn Sie mit dem Code-Editor verfügbare Projekte durchsuchen.

Berechtigungen erforderlich
  • resourcemanager.projects.get
  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get (selten)
Vorgeschlagene Rollen
  • Betrachter (roles/viewer) ODER
    Earth Engine-Ressourcen-Betrachter (roles/earthengine.viewer) für relevante Projekte ODER
    Browser (roles/browser, empfohlen für erweiterte Organisationsfälle)
  • Ordnerbetrachter (roles/resourcemanager.folderViewer) für die relevanten Ordner

Projekt für die Verwendung im Code-Editor auswählen

Berechtigungen erforderlich
  • resourcemanager.projects.get
  • serviceusage.services.get
Wenn das Projekt noch nicht eingerichtet wurde

Wenn Sie zum ersten Mal ein Projekt über den Code-Editor auswählen, wird das Projekt für die Verwendung mit Earth Engine initialisiert. Wenn dies noch nicht geschehen ist, benötigen Sie diese Rollen für die Einrichtung.

  • resourcemanager.projects.update UND
  • serviceusage.services.enable
Vorgeschlagene Rollen
  • Betrachter (roles/viewer) ODER
  • Earth Engine-Ressourcenbetrachter (roles/earthengine.viewer) UND
    Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)
Zusätzliche Rollen (wenn das Projekt noch nicht eingerichtet wurde)
  • Bearbeiter (roles/editor) ODER
  • Projekt-Mover (roles/resourcemanager.projectMover) UND
    Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) UND
    Service Usage-Administrator (roles/serviceusage.serviceUsageAdmin)

Projekt über den Code-Editor erstellen

Berechtigungen erforderlich
  • resourcemanager.projects.get
  • resourcemanager.projects.create
  • resourcemanager.projects.update
  • serviceusage.services.get
  • serviceusage.services.enable
Vorgeschlagene Rollen
  • Bearbeiter (roles/editor) ODER
  • Projektverschieber (roles/resourcemanager.projectMover) UND
    Projektersteller (roles/resourcemanager.projectCreator) UND
    Administrator für Dienstnutzung (roles/serviceusage.serviceUsageAdmin)
Hinweise Ihre Organisation gewährt Ihnen möglicherweise nicht die Rolle Editor. In diesem Fall sind die detaillierteren Rollen erforderlich. Project Mover ist erforderlich, um die Berechtigung projects.update abzudecken.

Auswahl der Stufe für die nicht kommerzielle Nutzung

Die folgenden Berechtigungen und vorgeschlagenen Rollen beziehen sich auf die Konfiguration von nicht kommerziellen Stufen.

Stufenauswahl
Berechtigungen erforderlich
  • earthengine.config.update
Vorgeschlagene Rollen
  • Earth Engine-Ressourcenautor (roles/earthengine.writer)
Rechnungskonto hinzufügen

Für die Stufe „Beitragender“ ist ein gültiges Rechnungskonto für das Projekt erforderlich.

Berechtigungen erforderlich
  • billing.accounts.get
Vorgeschlagene Rollen
  • Billing Account Viewer (roles/billing.viewer)

Registrierung von kommerziellen Projekten

Die folgenden Berechtigungen beziehen sich auf die Registrierung von Projekten für die kostenpflichtige Nutzung.

Berechtigungen erforderlich
Rechnungskonto
  • billing.subscriptions.list
Außerdem:
  • billing.accounts.get (zum Erstellen eines neuen Limited-Plans)
  • billing.subscriptions.create (zum Erstellen eines neuen Basic- oder Professional-Abos)
Cloud-Projekt
  • earthengine.computations.create
  • earthengine.config.update
  • serviceusage.services.get
  • serviceusage.services.enable
Vorgeschlagene Rollen
Rechnungskonto
  • Billing Account Viewer (roles/billing.viewer) zum Erstellen eines neuen Limited-Tarifs
  • Rechnungskontoadministrator (roles/billing.admin) zum Erstellen eines neuen Basic- oder Professional-Tarifs
Cloud-Projekt
  • Earth Engine-Ressourcenautor (roles/earthengine.writer)
  • Service Usage Admin (roles/serviceusage.serviceUsageAdmin)

Verwaltung kommerzieller Earth Engine-Tarife

Die folgenden Berechtigungen beziehen sich auf die Verwaltung von Earth Engine-Preismodellen.

Erforderliche Berechtigungen
für das Rechnungskonto
  • billing.subscriptions.create (zum Ändern eines Earth Engine-Abos)
  • billing.subscriptions.list (um den aktuellen Earth Engine-Plan aufzurufen)
Vorgeschlagene Rollen
für das Rechnungskonto
  • Billing Account Viewer (roles/billing.viewer), um den aktuellen Earth Engine-Tarif aufzurufen
  • Rechnungskontoadministrator (roles/billing.admin), um ein Earth Engine-Abo zu ändern

Batch-Aufgabenverwaltung

Die folgenden Berechtigungen beziehen sich auf die Konfiguration von projektbezogenen Limits für die Parallelität von Batchaufgaben. Diese Funktion ist nur für kommerzielle Nutzer von Earth Engine verfügbar.

Limits für Batchaufgaben auf Projektebene ansehen

Erforderliche Berechtigungen
für das Cloud-Konto 		earthengine.config.get

Limits für Batchaufgaben auf Projektebene festlegen

Erforderliche Berechtigungen
für das Cloud-Konto 		earthengine.config.update
Hinweis: Diese Berechtigung umfasst auch das Aufrufen der auf dem Rechnungskonto konfigurierten Limits auf Planebene.
Erforderliche Berechtigungen
für das Rechnungskonto 		billing.subscriptions.list

App-Verwaltung

App-Informationen anzeigen

Berechtigungen erforderlich
  • iam.serviceAccounts.get
  • iam.serviceAccounts.getIamPolicy, wenn die App eingeschränkt ist (weniger häufig)
Vorgeschlagene Rollen Betrachter (roles/viewer) ODER
Publisher von Earth Engine-Anwendungen (roles/earthengine.appsPublisher)

App veröffentlichen/aktualisieren

Berechtigungen erforderlich
  • iam.serviceAccounts.get
  • iam.serviceAccounts.create
  • iam.serviceAccounts.enable
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy
  • iam.serviceAccounts.disable, wenn die App von einem Projekt in ein anderes verschoben wird (ungewöhnlich)
Vorgeschlagene Rollen Publisher von Earth Engine-Anwendungen (roles/earthengine.appsPublisher) ODER
Dienstkontoadministrator (roles/iam.serviceAccountAdmin)
Hinweise
  • Außerdem authentifizieren sich Earth Engine App-Dienstkonten bei den Earth Engine-Servern, indem sie ein OAuth-Zugriffstoken präsentieren. Daher werden beim Erstellen der App bestimmte Identitäten als Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) für die Dienstkonten hinzugefügt.
  • Bei einer öffentlichen Earth Engine-App ist die Identität, die diese Rolle erhält, earth-engine-public-apps@appspot.gserviceaccount.com. Bei eingeschränkten Apps ist die Identität die von der Google-Gruppe für Zugriffsbeschränkungen, die vom App-Ersteller konfiguriert wurde.

App löschen

Berechtigungen erforderlich iam.serviceAccounts.disable
Vorgeschlagene Rollen Publisher von Earth Engine-Anwendungen (roles/earthengine.appsPublisher) ODER
Dienstkontoadministrator (roles/iam.serviceAccountAdmin)