查看 Application Integration 支持的连接器。
访问权限控制概览
创建 Google Cloud 项目后,您便成为该项目的唯一负责人。默认情况下,任何其他主账号(用户、群组或服务账号)都无权访问您的项目或其资源。在项目中成功预配应用集成后,您可以添加新的正文并为应用集成资源设置访问权限控制。
应用集成使用 Identity and Access Management (IAM) 来管理项目中的访问控制。您可以使用 IAM 在项目级或资源级管理访问权限:
- 如需在项目级层授予资源访问权限,请为主账号分配一个或多个角色。
- 如需授予对特定资源的访问权限,请对该资源设置 IAM 政策。该资源必须支持资源级政策。政策定义了将哪些角色分配给哪些主账号。
IAM 角色
Google Cloud 项目中的每个正文都会被授予具有特定权限的角色。当您将主账号添加到项目或资源中时,请指定要向其授予的角色。每个 IAM 角色都包含一组权限,可让主账号对资源执行特定操作。
如需详细了解 IAM 中不同类型的角色,请参阅了解角色。
如需了解如何向主账号授予角色,请参阅授予、更改和撤消访问权限。
Application Integration 提供了一组特定的预定义 IAM 角色。您可以使用这些角色授予对特定应用集成资源的访问权限,并防止对其他 Google Cloud 资源进行不必要的访问。
服务账号
服务账号是 Google Cloud 与您的项目关联的账号,可代表您执行任务或操作。为服务账号分配角色和权限的方式与使用 IAM 为正文分配角色和权限的方式相同。如需详细了解服务账号和不同类型的服务账号,请参阅 IAM 服务账号。
您必须向服务账号授予适当的 IAM 角色,该服务账号才能访问相关的 API 方法。 将 IAM 角色授予某个服务账号后,附加了该服务账号的任何集成都将具有该角色授予的权限。如果您需要的访问权限级别没有预定义角色,您可以创建并授予自定义角色。
Application Integration 使用两种类型的服务账号:
用户管理的服务账号
您可以将用户管理的服务账号附加到集成,以便提供执行任务的凭据。如需了解详情,请参阅用户管理的服务账号。
向集成提供的授权会受到以下两个单独配置的限制:授予关联的服务账号的角色以及访问权限范围。这两种配置都必须允许访问,然后集成才能执行任务。
用户管理的服务账号的电子邮件地址如下所示:
service-account-name@PROJECT_ID.iam.gserviceaccount.com
默认服务账号
已预配 Application Integration 的新 Google Cloud 项目具有 Application Integration 默认服务账号,该账号的电子邮件地址为:
service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com
Application Integration 默认服务账号会在预配期间创建,并自动添加到您的项目中,并具有基本 IAM 角色和权限。如需了解详情,请参阅默认服务账号。
如需了解如何向默认服务账号授予其他角色或权限,请参阅授予、更改和撤消访问权限。
添加服务账号
Application Integration 提供了两种向集成添加服务账号的方法:- 如果您为所在地区启用了治理功能,则必须在创建新的集成时添加服务账号。
- 如果您尚未启用治理功能,则可以选择为集成添加服务账号。如需向现有集成添加服务账号,请参阅修改和查看集成。
身份验证规则
如果您的集成同时配置了 OAuth 2.0 配置文件和用户管理的服务账号,则默认情况下,系统会使用 OAuth 2.0 配置文件进行身份验证。如果 OAuth 2.0 配置文件和用户管理的服务账号均未配置,则系统会使用默认服务账号 (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com)。如果任务不使用默认服务账号,则执行会失败。
授权规则
如果您向集成关联了服务账号,则必须通过授予该服务账号的 IAM 角色确定服务账号的访问权限级别。如果服务账号没有 IAM 角色,则无法使用该服务账号访问资源。
通过 OAuth 进行身份验证时,访问权限范围可能会进一步限制对 API 方法的访问权限。但不会扩展到其他身份验证协议(如 gRPC)。
IAM 角色
您必须向服务账号授予适当的 IAM 角色,该服务账号才能访问相关的 API 方法。
将 IAM 角色授予某个服务账号后,附加了该服务账号的任何集成都将具有该角色授予的权限。
访问权限范围
访问权限范围是为集成指定授权的传统方法。它们定义来自 gcloud CLI 或客户端库的请求中使用的默认 OAuth 范围。您可以通过范围来指定用户的访问权限。您可以指定多个范围,以单个空格(“ ”)分隔。如需了解详情,请参阅适用于 Google API 的 OAuth 2.0 范围。对于用户管理的服务账号,范围已预定义为以下范围:
https://www.googleapis.com/auth/cloud-platform