Kaynaklara erişimi kontrol etme

Earth Engine'in etkinleştirildiği projenizin varlıklarını veya işlem kotasını proje düzeyinde diğer Earth Engine kullanıcılarıyla paylaşabilirsiniz. Earth Engine varlıkları veya hesaplamaları başka bir kullanıcıyla ya da bir kullanıcı grubuyla paylaşılabilir. Bir kullanıcı grubuyla paylaşmak istiyorsanız yeni bir Google grubu oluşturun ve grubun e-posta adresini not edin (grup sayfasındaki Hakkında bağlantısından ulaşabilirsiniz). Bu sayfada, kaynaklara erişimin bireysel veya grup olarak nasıl sağlanacağı ve farklı etkinlikler için gereken roller ve izinler açıklanmaktadır.

Earth Engine hizmet kullanımını ayarlama

Earth Engine API'yi bir Cloud projesinde kullanmak için API'nin projede etkinleştirilmesi ve kullanıcının Earth Engine Resource Viewer rolünde en azından izinlere sahip olması gerekir (önceden tanımlanmış Earth Engine IAM rolleri hakkında daha fazla bilgi edinin). Ayrıca, kullanıcının projede en az serviceusage.services.use izni olmalıdır. Bu izin, proje Sahibi veya Düzenleyici rolleri ya da Hizmet Kullanımı Tüketicisi rolü aracılığıyla verilebilir. Kullanıcı, seçilen projede gerekli Earth Engine izinlerine ve Hizmet Kullanımı izinlerine sahip değilse hata verilir.

Öğe izinlerini ayarlama

Öğe düzeyinde izin belirleme

Öğe düzeyinde izinleri güncellemek için çeşitli seçenekler vardır.

  • Kod Düzenleyici'de Öğe Yöneticisi'ni kullanın.
  • Earth Engine komut satırını kullanın.
  • ee.data.setAssetAcl() gibi bir istemci kitaplığı kullanın.
  • Alternatif olarak, REST API'yi doğrudan çağırabilirsiniz.

Proje düzeyinde öğe izinlerini ayarlama

Proje düzeyinde paylaşım, Earth Engine'in etkin olduğu Cloud projenizdeki tüm öğelerde izinleri aynı anda ayarlar.

Projenizin IAM yöneticisi sayfasında uygun Kimlik ve Erişim Yönetimi (IAM) rolünü atayarak öğeleri proje düzeyinde paylaşabilirsiniz. Earth Engine öğelerini ve kaynaklarını paylaşmak için önceden tanımlanmış Earth Engine IAM rolleri vardır. IAM rolleri hakkında daha genel bir bakış için Rolleri Anlama başlıklı makaleyi inceleyin.

Başka bir kullanıcı öğelerinizden birine erişmeye çalıştığında izinler önce öğe düzeyinde kontrol edilir. İzinler öğe düzeyinde ayarlanmamışsa veya kontrol başarısız olursa (ör. erişim yoksa) izinler proje düzeyinde kontrol edilir.

Proje düzeyinde izinleri ayarlama

Proje düzeyinde izinleri ayarlamak için bir kullanıcıya veya kullanıcı grubuna proje IAM rolü atayın:

  1. Google Cloud Console'da IAM sayfasını açın
    IAM Sayfasını Açma
    Alternatif olarak, kod düzenleyicinin Öğeler sekmesinde işaretçiyi proje adınızın üzerine getirin ve simgesini tıklayın.
  2. Bir proje seçin'i tıklayın ve projenizi seçin (IAM sayfasını Kod Düzenleyici'den açtıysanız zaten orada olmanız gerekir).
  3. En üstte EKLE'yi tıklayın ve yeni üye olarak kişinin veya grubun e-posta adresini ekleyin ya da projedeki mevcut üyenin yanındaki simgesini tıklayın.
  4. Rol açılır listesinde, vermek istediğiniz Earth Engine Kaynağı rolünü arayın. Ayrıntılı bilgi için Önceden Tanımlanmış Earth Engine IAM Rolleri'ne bakın.
  5. KAYDET düğmesini tıklayın.

VPC Hizmet Kontrolleri

Earth Engine, kullanıcıların kaynaklarını güvence altına almasına ve veri hırsızlığı riskini azaltmasına yardımcı olan bir Google Cloud güvenlik özelliği olan VPC Hizmet Kontrolleri'ni destekler. VPC hizmet çevresine kaynak eklemek, veri okuma ve yazma işlemleri üzerinde daha fazla kontrol sağlar.

VPC-SC özellikleri ve yapılandırması hakkında daha fazla bilgi edinin.

Sınırlamalar

Kaynaklarınız için VPC Hizmet Kontrolleri'ni etkinleştirmenin bazı sınırlamaları vardır. Bu sınırlamalar için örnek geçici çözümler sunulmuştur:

Sınırlama Örnek alternatif
Kod Düzenleyici desteklenmez ve VPC Hizmet Kontrolleri, hizmet sınırının içindeki kaynaklar ve istemcilerle birlikte kullanılmasına izin vermez. Earth Engine Python API'yi geemap kitaplığı ile birlikte kullanın.
Eski öğeler, VPC Hizmet Kontrolleri tarafından korunmaz. Cloud projelerinde depolanan öğeleri kullanma.
Google Drive'a dışa aktarma, VPC Hizmet Kontrolleri tarafından desteklenmez.
Earth Engine Uygulamaları, hizmet çevresi içindeki kaynaklar ve istemciler için desteklenmez. Geçici çözüm yok.

Earth Engine'i güvenli bir VPC hizmet çevresindeki kaynaklarla kullanmak yalnızca Professional ve Premium fiyatlandırma planlarında kullanılabilir. Earth Engine API'yi Basic fiyatlandırma planıyla ilişkili bir VPC-SC güvenli projesiyle kullanmaya çalışmak hataya neden olur. Earth Engine fiyatlandırması hakkında daha fazla bilgi edinmek için resmi dokümanları ziyaret edin.

VPC Hizmet Kontrolleri ve sınırlamaları hakkında daha fazla bilgiyi Desteklenen ürünler ve sınırlamalar başlıklı makalede bulabilirsiniz.

Roller ve izinler

Aşağıdaki bölümlerde, etkinlikleri gerçekleştirmek ve Earth Engine kaynaklarına erişmek için gereken izinler ve roller açıklanmaktadır. Cloud projesi izinleri ve rolleri hakkında daha fazla bilgi edinmek için Google Cloud belgelerine bakın.

Önceden tanımlanmış Earth Engine IAM rolleri

Earth Engine, bir proje içindeki Earth Engine kaynakları üzerinde farklı kontrol dereceleri sağlayan önceden tanımlanmış roller sunar. Bu roller şunlardır:

Rol Başlık Açıklama
roles/earthengine.viewer Earth Engine Kaynak Görüntüleyicisi Öğeleri ve görevleri görüntüleme ve listeleme izni verir.
roles/earthengine.writer Earth Engine Kaynak Yazıcısı Öğeleri okuma, oluşturma, değiştirme ve silme, resimleri ve tabloları içe aktarma, görevleri okuma ve güncelleme, etkileşimli hesaplamalar yapma ve uzun süren dışa aktarma görevleri oluşturma izni verir.
roles/earthengine.admin Earth Engine Yöneticisi Earth Engine öğelerinin erişim kontrollerini değiştirme de dahil olmak üzere tüm Earth Engine kaynakları için izin sağlar.
roles/earthengine.appsPublisher Earth Engine Apps Publisher Earth Engine uygulamasıyla kullanılacak bir hizmet hesabı oluşturma izni verir. Ayrıca, Cloud projesi kapsamındaki projeye ait uygulamaları düzenleme ve silme izni de verir.

Önceden tanımlanmış Earth Engine rolleri ihtiyaçlarınızı karşılamıyorsa basit veya özel bir rol ayarlayabileceğinizi unutmayın. Belirli bir role göre filtreleyip rolü tıklayarak IAM rolleri sayfasından her rolle ilişkili izin paketini görebilirsiniz.

Earth Engine API'ye tam erişim

Kullanıcılara Earth Engine hizmetine doğrudan REST API, Kod Düzenleyici veya bir istemci kitaplığı aracılığıyla tam erişim izni vermek için kullanıcıların aşağıdaki gibi işlemleri gerçekleştirmesine izin verilmesi gerekir:

İzin gerekli
  • clientauthconfig.clients.listWithSecrets
  • earthengine.assets.get
  • earthengine.assets.getIamPolicy
  • earthengine.assets.list
  • earthengine.computations.create
  • earthengine.operations.get
  • earthengine.operations.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.services.use
Önerilen roller
  • Service Usage Consumer (roles/serviceusage.serviceUsageConsumer) VE aşağıdakilerden biri:
    • Earth Engine Kaynak Görüntüleyicisi (roles/earthengine.viewer) VEYA
    • Earth Engine Resource Writer (roles/earthengine.writer) VEYA
    • Earth Engine Kaynak Yöneticisi (roles/earthengine.admin)
  • Notebook ortamı üzerinden Earth Engine'e erişen ve Notebook Authenticator'ı kullanan kullanıcılar için OAuth Yapılandırması Düzenleyicisi (roles/oauthconfig.editor) de gereklidir. Daha fazla bilgi için Colab veya JupyterLab not defteri kimlik doğrulaması başlıklı makaleyi inceleyin.
Notlar Google Cloud, API'leri çağırırken projeyi etkin proje olarak kullanmak için Hizmet Kullanımı Tüketicisi rolünü gerektirir ve proje X'te bu izin olmadan ee.Initialize(project=X) başarısız olur. Ayrıca, kaynak kullanımınızı görüntülemek için Cloud Console'da bu projeyi seçebilirsiniz.

Yalnızca öğe paylaşımı

Kullanıcıya, gerekli etkinliği gerçekleştirmek için minimum izinlere sahip Önceden Tanımlanmış Earth Engine IAM Rolleri'nden birini verin. Kullanıcıların gerekli serviceusage izinleri olmadan proje kaynaklarını kullanamayacağını unutmayın.

Proje yönetimi

Kullanılabilir projeleri listeleme ve görüntüleme

Bu durum, mevcut projelere göz atmak için kod düzenleyici kullanılırken meydana gelir.

İzin gerekli
  • resourcemanager.projects.get
  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get (nadiren)
Önerilen roller
  • Görüntüleyici (roles/viewer) VEYA
    İlgili projelerde Earth Engine Kaynak Görüntüleyicisi (roles/earthengine.viewer) VEYA
    Tarayıcı (roles/browser, gelişmiş kuruluş durumları için önerilir)
  • İlgili klasörlerde Klasör Görüntüleyici'yi (roles/resourcemanager.folderViewer) tıklayın.

Kod Düzenleyici'de kullanılacak bir proje seçin

İzin gerekli
  • resourcemanager.projects.get
  • serviceusage.services.get
Proje daha önce ayarlanmadıysa

Kod Düzenleyici'de ilk kez bir proje seçildiğinde proje, Earth Engine ile kullanılmak üzere başlatılır. Bu işlem daha önce yapılmadıysa kurulumun başarılı olması için bu rollere ihtiyacınız vardır.

  • resourcemanager.projects.update VE
  • serviceusage.services.enable
Önerilen roller
  • İzleyici (roles/viewer) VEYA
  • Earth Engine Kaynak Görüntüleyicisi (roles/earthengine.viewer) VE
    Service Usage Consumer (roles/serviceusage.serviceUsageConsumer)
Ek roller (proje daha önce ayarlanmadıysa)
  • Düzenleyici (roles/editor) VEYA
  • Project Mover (roles/resourcemanager.projectMover) VE
    Project IAM Admin (roles/resourcemanager.projectIamAdmin) VE
    Service Usage Admin (roles/serviceusage.serviceUsageAdmin)

Kod Düzenleyici ile proje oluşturma

İzin gerekli
  • resourcemanager.projects.get
  • resourcemanager.projects.create
  • resourcemanager.projects.update
  • serviceusage.services.get
  • serviceusage.services.enable
Önerilen roller
  • Düzenleyici (roles/editor) VEYA
  • Proje Taşıyıcı (roles/resourcemanager.projectMover) VE
    Proje Oluşturucu (roles/resourcemanager.projectCreator) VE
    Hizmet Kullanımı Yöneticisi (roles/serviceusage.serviceUsageAdmin)
Notlar Kuruluşunuz size Düzenleyici rolünü vermeyebilir. Bu nedenle, daha ayrıntılı roller gerekebilir. projects.update iznini kapsamak için Project Mover gerekir.

Ticari olmayan katman seçimi

Aşağıdaki izinler ve önerilen roller, ticari olmayan katman yapılandırması ile ilgilidir.

Katman seçimi
İzin gerekli
  • earthengine.config.update
Önerilen roller
  • Earth Engine Kaynak Yazıcısı (roles/earthengine.writer)
Faturalandırma hesabı ekle

Katkıda Bulunan Katmanı için projede geçerli bir faturalandırma hesabı gerekir.

İzin gerekli
  • billing.accounts.get
Önerilen roller
  • Faturalandırma Hesabı Görüntüleyici (roles/billing.viewer)

Ticari Proje Tescili

Aşağıdaki izinler, projeleri ücretli kullanıma kaydetme ile ilgilidir.

İzin gerekli
Faturalandırma hesabı
  • billing.subscriptions.list
Ayrıca:
  • billing.accounts.get (yeni bir Sınırlı plan oluşturmak için)
  • billing.subscriptions.create (yeni bir Basic veya Professional planı oluşturmak için)
Bulut projesi
  • earthengine.computations.create
  • earthengine.config.update
  • serviceusage.services.get
  • serviceusage.services.enable
Önerilen roller
Faturalandırma hesabı
  • Yeni bir sınırlı plan oluşturmak için Faturalandırma Hesabı Görüntüleyici (roles/billing.viewer)
  • Yeni bir Basic veya Professional planı oluşturmak için Faturalandırma Hesabı Yöneticisi (roles/billing.admin)
Bulut projesi
  • Earth Engine Kaynak Yazıcısı (roles/earthengine.writer)
  • Hizmet Kullanımı Yöneticisi (roles/serviceusage.serviceUsageAdmin)

Ticari Earth Engine plan yönetimi

Aşağıdaki izinler, Earth Engine fiyatlandırma planlarının yönetimiyle ilgilidir.

Faturalandırma hesabında
gerekli izinler
  • billing.subscriptions.create (Earth Engine planını değiştirmek için)
  • billing.subscriptions.list (mevcut Earth Engine planını görüntülemek için)
Faturalandırma hesabında
önerilen roller
  • Mevcut Earth Engine planını görüntülemek için Faturalandırma Hesabı Görüntüleyici (roles/billing.viewer)
  • Earth Engine planını değiştirmek için Faturalandırma Hesabı Yöneticisi (roles/billing.admin)

Toplu görev yönetimi

Aşağıdaki izinler, toplu görev eşzamanlılığı için proje başına sınırların yapılandırılmasıyla ilgilidir. Bu özellik yalnızca Earth Engine'in ticari kullanıcıları tarafından kullanılabilir.

Proje düzeyindeki toplu görev sınırlarını görüntüleme

Cloud hesabında
gerekli izinler 		earthengine.config.get

Proje düzeyinde toplu görev sınırları belirleme

Cloud hesabında
gerekli izinler 		earthengine.config.update
Not: Bu izin, faturalandırma hesabında yapılandırılan plan düzeyindeki sınırların görüntülenmesini de kapsar.
Faturalandırma hesabında
gerekli izinler 		billing.subscriptions.list

Uygulama yönetimi

Uygulama bilgilerini görüntüleme

İzin gerekli
  • iam.serviceAccounts.get
  • Uygulama kısıtlanmışsa iam.serviceAccounts.getIamPolicy (daha az yaygın)
Önerilen roller İzleyici (roles/viewer) VEYA
Earth Engine Uygulamaları Yayıncısı (roles/earthengine.appsPublisher)

Uygulamayı yayınlama/güncelleme

İzin gerekli
  • iam.serviceAccounts.get
  • iam.serviceAccounts.create
  • iam.serviceAccounts.enable
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy
  • iam.serviceAccounts.disable, uygulama bir projeden diğerine taşınırsa (yaygın değildir)
Önerilen roller Earth Engine Apps Publisher (roles/earthengine.appsPublisher) VEYA
Service Account Admin (roles/iam.serviceAccountAdmin)
Notlar
  • Ayrıca, Earth Engine App hizmet hesapları, bir OAuth erişim jetonu sunarak kendilerini Earth Engine sunucularına tanıtır. Bu nedenle, uygulama oluşturma sırasında hizmet hesaplarına Hizmet Hesabı Jeton Oluşturucu (roles/iam.serviceAccountTokenCreator) olarak belirli kimlikler eklenir.
  • Herkese açık bir Earth Engine uygulamasında bu rolü veren kimlik earth-engine-public-apps@appspot.gserviceaccount.com, sınırlı uygulamalarda ise kimlik, uygulama oluşturucu tarafından yapılandırılan Erişim Kısıtlaması Google Grubu'dur.

Uygulamayı silme

İzin gerekli iam.serviceAccounts.disable
Önerilen roller Earth Engine Apps Publisher (roles/earthengine.appsPublisher) VEYA
Service Account Admin (roles/iam.serviceAccountAdmin)