访问权限控制概览

当您创建 Google Cloud 项目后，您便成为该项目的唯一主账号。默认情况下，其他主账号（用户、群组或服务账号）无权访问您的项目或其资源。在项目中成功预配应用集成后，您可以添加新的主体并为应用集成资源设置访问权限控制。

Application Integration 使用 Identity and Access Management (IAM) 来管理项目中的访问权限控制。您可以使用 IAM 在项目级或资源级管理访问权限：

如需在项目级授予对资源的访问权限，请为主账号分配一个或多个角色。
如需授予对特定资源的访问权限，请为该资源设置 IAM 政策。资源必须支持资源级政策。政策定义了将哪些角色分配给哪些主账号。

IAM 角色

Google Cloud 项目中的每个主体都会被授予具有特定权限的角色。将主账号添加到项目或资源中时，请指定要向其授予的角色。每个 IAM 角色都包含一组权限，可让主账号对资源执行特定操作。

如需详细了解 IAM 中不同类型的角色，请参阅了解角色。

如需了解如何向主账号授予角色，请参阅授予、更改和撤消访问权限。

Application Integration 提供一组特定的预定义 IAM 角色。您可以使用这些角色授予对特定应用集成资源的访问权限，并防止对其他 Google Cloud 资源进行不必要的访问。

服务账号

服务账号是与您的项目关联的 Google Cloud 账号，可以代表您执行任务或操作。为服务账号分配角色和权限的方式与使用 IAM 为主体分配角色和权限的方式相同。如需详细了解服务账号和不同类型的服务账号，请参阅 IAM 服务账号。

您必须向服务账号授予适当的 IAM 角色，该服务账号才能访问相关的 API 方法。当您向某个服务账号授予 IAM 角色时，该角色为任何附加了该服务账号的集成授予的授权。如果您没有所需访问权限级别的预定义角色，可以创建并授予自定义角色。

Application Integration 使用两种类型的服务账号：

用户管理的服务账号
默认服务账号

用户代管式服务账号

用户代管式服务账号可以关联到集成提供执行任务所需的凭据。如需了解详情，请参阅用户管理的服务账号。

向集成提供的授权受两种独立配置的限制：授予关联服务账号的角色和访问权限范围。这两种配置都必须允许访问，集成才能执行相应任务。

用户管理的服务账号的电子邮件地址如下所示：

service-account-name@PROJECT_ID.iam.gserviceaccount.com

默认服务账号

已预配 Application Integration 的新 Google Cloud 项目具有 Application Integration 默认服务账号，该账号具有以下电子邮件地址：

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

系统会在预配期间创建应用集成默认服务账号，并自动将其添加到您的项目中，并为其分配基本 IAM 角色和权限。如需了解详情，请参阅默认服务账号。

如需了解如何向默认服务账号授予其他角色或权限，请参阅授予、更改和撤消访问权限。

添加服务账号

应用集成提供了两种向集成添加服务账号的方法：

如果您为所在地区启用了治理功能，则必须在创建新的集成时添加服务账号。
如果您尚未启用治理功能，则可以选择向集成。如需将服务账号添加到现有集成，请参阅修改和查看集成。

身份验证规则

如果您的集成同时配置了 OAuth 2.0 配置文件和用户管理的服务账号，则默认情况下，系统会使用 OAuth 2.0 配置文件进行身份验证。如果 OAuth 2.0 配置文件和用户管理的服务账号均未配置，则系统会使用默认服务账号 (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com)。如果任务不使用默认服务账号，则执行会失败。

授权规则

如果您将服务账号附加到集成中，则必须确定层级以及您在创建服务账号时指定的 IAM 角色所具有的访问权限授予权限。如果服务账号没有 IAM 角色，则无法使用该服务账号访问资源。

通过 OAuth 进行身份验证时，访问权限范围可能会进一步限制对 API 方法的访问权限。不过，它们不会扩展到其他 gRPC 等身份验证协议

IAM 角色

您必须向服务账号授予适当的 IAM 角色，以允许该服务账号访问相关 API 方法。

当您向服务账号授予 IAM 角色时，任何具有该角色的集成关联的服务账号将获得该角色授予的授权。

访问权限范围

访问权限范围是为服务账号指定授权的传统方法，集成。它们定义来自 gcloud CLI 或客户端库的请求中使用的默认 OAuth 范围。范围可让您指定访问权限。您可以指定多个范围，以单个空格（“ ”）分隔。如需了解详情，请参阅适用于 Google API 的 OAuth 2.0 范围。对于用户代管式服务账号，范围预定义为以下范围：

https://www.googleapis.com/auth/cloud-platform