您可以使用访问令牌在短时间内通过 Google Cloud API 进行身份验证。如果不需要访问令牌,则应使用服务帐号来对您的 Knative 服务服务进行身份验证。
提取访问令牌
当您的代码在 Knative 服务上运行时,它可以使用计算元数据服务器来提取访问令牌。您无法直接从本地计算机查询元数据服务器。
访问令牌
默认情况下,访问令牌具有 cloud-platform 范围,因此允许访问所有 Google Cloud API(假设 Identity and Access Management 也允许访问)。要访问其他 Google 服务或 Google Cloud API,您需要提取具有适当范围的访问令牌。
您可以使用计算元数据服务器来提取访问令牌。
如果需要具有特定范围的访问令牌,您可以按如下方式生成一个:
curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token?scopes=[SCOPES]" \ -H "Metadata-Flavor: Google"
其中,SCOPES 是所请求 OAuth 范围的列表(以英文逗号分隔),例如 https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/spreadsheets。
要查找所需的范围,请参阅完整的 Google OAuth 范围列表。
后续步骤
了解如何管理访问权限(对服务的访问权限)。