Erişim denetimi

Earth Engine özellikli projenizin öğelerini veya hesaplama kotasını proje düzeyinde diğer Earth Engine kullanıcılarıyla paylaşabilirsiniz. Earth Engine öğeleri veya hesaplama işlemleri başka bir kullanıcıyla ya da kullanıcı grubuyla paylaşılabilir. Bir kullanıcı grubuyla paylaşmak istiyorsanız yeni bir Google grubu oluşturun ve e-posta adresini not edin (Grup sayfasındaki Hakkında bağlantısından ulaşabilirsiniz). Bu sayfada, bir kullanıcı veya grup için kaynaklara nasıl erişim sağlanacağı ve farklı etkinlikler için gereken roller ve izinler açıklanmaktadır.

Earth Engine hizmet kullanımını ayarlama

Earth Engine API'yi bir Cloud projesinde kullanmak için API'nin projede etkinleştirilmesi ve kullanıcının en azından Earth Engine Resource Viewer rolündeki izinlere sahip olması gerekir (önceden tanımlanmış Earth Engine IAM rolleri hakkında daha fazla bilgi edinin). Ayrıca, kullanıcının projede en az serviceusage.services.use iznine sahip olması gerekir. Bu izin, proje Sahibi veya Düzenleyici rolleri ya da belirli Hizmet Kullanımı Kullanıcısı rolü aracılığıyla sağlanabilir. Kullanıcının, seçili projede gerekli Earth Engine izinlerine ve Hizmet Kullanımı izinlerine sahip olmaması durumunda hata mesajı gösterilir.

Öğe izinlerini ayarlama

Öğe düzeyinde izinleri ayarlama

Öğe düzeyinde izinleri güncellemek için çeşitli seçenekler vardır.

  • Kod Düzenleyici'de Öğe Yöneticisi'ni kullanın.
  • Earth Engine komut satırını kullanın.
  • ee.data.setAssetAcl() gibi bir istemci kitaplığı kullanın.
  • Dilerseniz REST API'yi doğrudan da çağırabilirsiniz.

Proje düzeyinde öğe izinleri ayarlama

Proje düzeyinde paylaşım, Earth Engine özellikli Cloud projenizdeki tüm öğelerin izinlerini aynı anda ayarlar.

Projenizin IAM yöneticisi sayfasında uygun Kimlik ve Erişim Yönetimi (IAM) rolünü atayarak öğeleri proje düzeyinde paylaşabilirsiniz. Earth Engine öğelerini ve kaynaklarını paylaşmak için önceden tanımlanmış Earth Engine IAM rolleri vardır. IAM rollerine genel bir bakış için Rolleri anlama başlıklı makaleyi inceleyin.

Başka bir kullanıcı öğelerinizden birine erişmeye çalıştığında izinler önce öğe düzeyinde kontrol edilir. İzinler öğe düzeyinde ayarlanmamışsa veya kontrol başarısız olursa (ör. erişim yoksa) izinler proje düzeyinde kontrol edilir.

Proje düzeyinde izinleri ayarlama

İzinleri proje düzeyinde ayarlamak için bir kullanıcıya veya kullanıcı grubuna proje IAM rolü atayın:

  1. Google Cloud Console'da IAM sayfasını açın
    IAM sayfasını açın
    Veya işaretçiyi Kod Düzenleyici'nin Öğeler sekmesindeki projenizin üzerine getirin ve simgesini tıklayın.
  2. Proje seçin'i tıklayın ve projenizi seçin (IAM sayfasını Kod Düzenleyici'den açtıysanız zaten bu sayfaya yönlendirilmiş olursunuz).
  3. Üst taraftaki EKLE'yi tıklayın ve yeni üye olarak kişinin veya grubun e-posta adresini ekleyin ya da projedeki mevcut üyenin yanındaki simgesini tıklayın.
  4. Roll açılır menüsünde, vermek istediğiniz Earth Engine Resource rolünü arayın. Ayrıntılar için Önceden tanımlanmış Earth Engine IAM rollerine bakın.
  5. KAYDET düğmesini tıklayın.

VPC Hizmet Kontrolleri

Earth Engine, kullanıcıların kaynaklarını güvence altına almasına ve veri hırsızlığı riskini azaltmasına yardımcı olan bir Google Cloud güvenlik özelliği olan VPC Hizmet Kontrolleri'ni destekler. VPC hizmet çevresine kaynak eklemek, veri okuma ve yazma işlemleri üzerinde daha fazla kontrol sahibi olmanızı sağlar.

VPC-SC özellikleri ve yapılandırması hakkında daha fazla bilgi edinin.

Sınırlamalar

Kaynaklarınız için VPC Hizmet Kontrolleri'ni etkinleştirmenin bazı sınırlamaları vardır. Bu sınırlamalar için örnek geçici çözümler sağladık:

Sınırlama Örnek alternatif
Kod Düzenleyici desteklenmez ve VPC Hizmet Kontrolleri, bir hizmet çevresindeki kaynaklar ve istemcilerle kullanılmasına izin vermez. Earth Engine Python API'yi geemap kitaplığı ile birlikte kullanın.
Eski öğeler VPC Hizmet Kontrolleri tarafından korunmaz. Bulut projelerinde depolanan öğeleri kullanın.
Google Drive'a dışa aktarma, VPC Hizmet Kontrolleri tarafından desteklenmez.
Earth Engine uygulamaları, hizmet çevresindeki kaynaklar ve istemciler için desteklenmez. Geçici bir çözüm mevcut değildir.

Earth Engine'u, güvenli bir VPC hizmet çevresindeki kaynaklarla kullanmak yalnızca Professional ve Premium fiyatlandırma planlarında kullanılabilir. Earth Engine API'yi, Basic fiyatlandırma planıyla ilişkili bir VPC-SC güvenli projesiyle kullanmaya çalışmak hatayla sonuçlanır. Earth Engine fiyatlandırması hakkında daha fazla bilgi edinmek için resmi dokümanları inceleyin.

VPC Hizmet Kontrolleri ve sınırlamaları hakkında daha fazla bilgiyi Desteklenen ürünler ve sınırlamalar bölümünde bulabilirsiniz.

Roller ve izinler

Aşağıdaki bölümlerde, etkinlikleri gerçekleştirmek ve Earth Engine kaynaklarına erişmek için gereken izinler ve roller açıklanmaktadır. Cloud projesi izinleri ve rolleri hakkında daha fazla bilgi edinmek için Google Cloud belgelerine bakın.

Önceden tanımlanmış Earth Engine IAM rolleri

Earth Engine, bir projedeki Earth Engine kaynakları üzerinde farklı düzeylerde kontrol sağlayan önceden tanımlanmış roller sunar. Bu roller şunlardır:

Rol Başlık Açıklama
roles/earthengine.viewer Earth Engine Kaynak Görüntüleyicisi Öğeleri ve görevleri görüntüleme ve listeleme izni sağlar.
roles/earthengine.writer Earth Engine Kaynak Yazıcısı Öğeleri okuma, oluşturma, değiştirme ve silme, resim ve tabloları içe aktarma, görevleri okuma ve güncelleme, etkileşimli hesaplamalar yapma ve uzun süren dışa aktarma görevleri oluşturma izni verir.
roles/earthengine.admin Earth Engine Yöneticisi Earth Engine öğelerinin erişim denetimlerini değiştirmek de dahil olmak üzere tüm Earth Engine kaynakları için izin verir.
roles/earthengine.appsPublisher Earth Engine Uygulamaları Yayıncısı Earth Engine uygulamasıyla kullanılacak bir hizmet hesabı oluşturma izni verir. Ayrıca, Cloud projesi kapsamında projeye ait uygulamaları düzenleme ve silme izni de verir.

Önceden tanımlanmış Earth Engine rolleri ihtiyaçlarınızı karşılamıyorsa ilkel veya özel bir rol ayarlayabileceğinizi unutmayın. Belirli bir role göre filtreleyerek ve rolü tıklayarak IAM Rolleri sayfasında her rolle ilişkili izin grubunu görebilirsiniz.

Earth Engine API'ye tam erişim

Kullanıcılara doğrudan REST API, Kod Düzenleyici veya istemci kitaplığı üzerinden Earth Engine hizmetine tam erişim vermek için aşağıdaki gibi işlemleri gerçekleştirmelerine izin verilmelidir:

  • Earth Engine ifadelerini yürütme
  • Toplu hesaplamalar (dışa aktarma) çalıştırma
  • Etkileşimli sonuçlar (online haritalar, küçük resimler, grafikler vb.) alma
  • Earth Engine öğeleri oluşturma/silme
  • Earth Engine'a bağlanmak için İstemci Kitaplığı üzerinden OAuth Kimlik Doğrulama
İzin gerekli
  • clientauthconfig.clients.listWithSecrets
  • earthengine.assets.get
  • earthengine.assets.getIamPolicy
  • earthengine.assets.list
  • earthengine.computations.create
  • earthengine.operations.get
  • earthengine.operations.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.services.use
Önerilen roller
  • Hizmet Kullanımı Tüketicisi (roles/serviceusage.serviceUsageConsumer) VE aşağıdakilerden biri:
    • Earth Engine Kaynak Görüntüleyicisi (roles/earthengine.viewer) VEYA
    • Earth Engine Kaynak Yazıcısı (roles/earthengine.writer) VEYA
    • Earth Engine Kaynak Yöneticisi (roles/earthengine.admin)
  • Earth Engine'a not defteri ortamı üzerinden erişen ve Not Defteri Kimlik Doğrulayıcı'yı kullanan kullanıcılar için OAuth Yapılandırması Düzenleyicisi (roles/oauthconfig.editor) de gereklidir. Daha fazla bilgi için Colab veya JupyterLab not defteri kimlik doğrulaması başlıklı makaleyi inceleyin.
Notlar Google Cloud, API'leri çağırırken projeyi etkin proje olarak kullanmak için Hizmet Kullanımı Tüketicisi rolünü gerektirir ve X projesinde bu izin olmadan ee.Initialize(project=X) başarısız olur. Ayrıca, kaynak kullanımınızı göstermek için Cloud Console'da bu projeyi seçebilirsiniz.

Yalnızca öğe paylaşımı

Kullanıcıya, gereken etkinliği gerçekleştirmek için minimum izinlere sahip önceden tanımlanmış Earth Engine IAM rollerinden birini verin. Kullanıcıların gerekli izinler olmadan proje kaynaklarını kullanamayacağını unutmayın.serviceusage

Proje yönetimi

Mevcut projeleri listeleme ve görüntüleme

Bu durum, mevcut projelere göz atmak için Kod Düzenleyici kullanılırken ortaya çıkar.

İzin gerekli
  • resourcemanager.projects.get
  • resourcemanager.folders.list
  • resourcemanager.folders.get
  • resourcemanager.organizations.get (nadir)
Önerilen roller
  • Görüntüleyici (roles/viewer) VEYA
    Earth Engine Kaynak Görüntüleyicisi (roles/earthengine.viewer) ilgili projelerde VEYA
    Tarayıcı (roles/browser, gelişmiş kuruluş örnekleri için önerilir)
  • İlgili klasörlerde Klasör Görüntüleyici (roles/resourcemanager.folderViewer)

Kod Düzenleyici'de kullanılacak bir proje seçin

İzin gerekli
  • resourcemanager.projects.get
  • serviceusage.services.get
Proje daha önce ayarlanmamışsa

Kod Düzenleyici aracılığıyla ilk kez bir proje seçtiğinizde proje, Earth Engine ile kullanıma hazır hale getirilir. Bu daha önce yapılmadıysa kurulumun başarılı olması için bu rollere ihtiyacınız vardır.

  • resourcemanager.projects.update VE
  • serviceusage.services.enable
Önerilen roller
  • İzleyici (roles/viewer) VEYA
  • Earth Engine Kaynak Görüntüleyicisi (roles/earthengine.viewer) VE
    Hizmet Kullanımı Tüketicisi (roles/serviceusage.serviceUsageConsumer)
Ek roller (proje daha önce ayarlanmadıysa)
  • Düzenleyici (roles/editor) VEYA
  • Proje Taşıyıcısı (roles/resourcemanager.projectMover) VE
    Proje IAM Yöneticisi (roles/resourcemanager.projectIamAdmin) VE
    Hizmet Kullanımı Yöneticisi (roles/serviceusage.serviceUsageAdmin)

Kod Düzenleyici aracılığıyla proje oluşturma

İzin gerekli
  • resourcemanager.projects.get
  • resourcemanager.projects.create
  • resourcemanager.projects.update
  • serviceusage.services.get
  • serviceusage.services.enable
Önerilen roller
  • Düzenleyici (roles/editor) VEYA
  • Proje Taşıyıcısı (roles/resourcemanager.projectMover) VE
    Proje Oluşturucusu (roles/resourcemanager.projectCreator) VE
    Hizmet Kullanımı Yöneticisi (roles/serviceusage.serviceUsageAdmin)
Notlar Kuruluşunuz size Düzenleyici rolünü vermeyebilir. Bu nedenle, daha ayrıntılı rollere ihtiyaç duyabilirsiniz. projects.update iznini kapsayacak şekilde Proje Taşıyıcısı

Ticari Proje Tescili

Aşağıdaki izinler, projeleri ücretli kullanıma kaydettirme ile ilgilidir.

İzin gerekli
Faturalandırma hesabı
  • billing.subscriptions.list
Ayrıca:
  • billing.accounts.get (yeni bir Sınırlı plan oluşturmak için)
  • billing.subscriptions.create (yeni bir Basic veya Professional plan oluşturmak için)
Bulut projesi
  • earthengine.computations.create
  • earthengine.config.update
  • serviceusage.services.get
  • serviceusage.services.enable
Önerilen roller
Faturalandırma hesabı
  • Yeni bir Sınırlı plan oluşturmak için Faturalandırma Hesabı Görüntüleyen (roles/billing.viewer)
  • Yeni bir Temel veya Profesyonel plan oluşturmak için Faturalandırma Hesabı Yöneticisi (roles/billing.admin)
Bulut projesi
  • Earth Engine Kaynak Yazıcısı (roles/earthengine.writer)
  • Hizmet Kullanımı Yöneticisi (roles/serviceusage.serviceUsageAdmin)

Ticari Earth Engine plan yönetimi

Aşağıdaki izinler, Earth Engine fiyatlandırma planlarını yönetmeyle ilgilidir.

Faturalandırma hesabında
gerekli izinler
  • billing.subscriptions.create (Earth Engine planını değiştirmek için)
  • billing.subscriptions.list (mevcut Earth Engine planını görüntülemek için)
Faturalandırma hesabında
önerilen roller
  • Mevcut Earth Engine planını görüntülemek için Faturalandırma Hesabı Görüntüleyici (roles/billing.viewer)
  • Earth Engine planını değiştirmek için Faturalandırma Hesabı Yöneticisi (roles/billing.admin)

Toplu görev yönetimi

Aşağıdaki izinler, toplu görev eşzamanlılığıyla ilgili proje başına sınırları yapılandırmayla ilgilidir. Bu özellik yalnızca Earth Engine'ın ticari kullanıcıları tarafından kullanılabilir.

Proje düzeyinde toplu görev sınırlarını görüntüleme

Cloud hesabında
gerekli izinler 		earthengine.config.get

Proje düzeyinde toplu görev sınırlarını ayarlama

Cloud hesabında
gerekli izinler 		earthengine.config.update
Not: Bu izin, faturalandırma hesabında yapılandırılmış plan düzeyindeki sınırları görüntülemeyi de kapsar.
Faturalandırma hesabında
gerekli izinler 		billing.subscriptions.list

Uygulama yönetimi

Uygulama bilgilerini görüntüleme

İzin gerekli
  • iam.serviceAccounts.get
  • Uygulama kısıtlanmışsa iam.serviceAccounts.getIamPolicy (daha az yaygın)
Önerilen roller İzleyici (roles/viewer) VEYA
Earth Engine Uygulamaları Yayıncısı (roles/earthengine.appsPublisher)

Uygulamayı yayınlama/güncelleme

İzin gerekli
  • iam.serviceAccounts.get
  • iam.serviceAccounts.create
  • iam.serviceAccounts.enable
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy
  • iam.serviceAccounts.disable, uygulama bir projeden diğerine taşınırsa (nadir)
Önerilen roller Earth Engine Uygulamaları Yayıncısı (roles/earthengine.appsPublisher) VEYA
Hizmet Hesabı Yöneticisi (roles/iam.serviceAccountAdmin)
Notlar
  • Ayrıca Earth Engine uygulama hizmet hesapları, OAuth erişim jetonu sunarak Earth Engine sunucularına kimliklerini tanımlar. Bu nedenle, uygulama oluşturulurken hizmet hesaplarına Hizmet Hesabı Jeton Oluşturucu (roles/iam.serviceAccountTokenCreator) olarak belirli kimlikler eklenir.
  • Herkese açık bir Earth Engine uygulaması söz konusu olduğunda bu role atanmış kimlik earth-engine-public-apps@appspot.gserviceaccount.com, sınırlı uygulamalar söz konusu olduğunda ise kimlik, uygulamayı oluşturan kullanıcı tarafından yapılandırılmış erişim kısıtlaması Google grubudur.

Uygulama silme

İzin gerekli iam.serviceAccounts.disable
Önerilen roller Earth Engine Uygulamaları Yayıncısı (roles/earthengine.appsPublisher) VEYA
Hizmet Hesabı Yöneticisi (roles/iam.serviceAccountAdmin)