请参阅 Application Integration 支持的连接器。

访问权限控制概览

创建 Google Cloud 项目后，您便是该项目的唯一主帐号。默认情况下，其他主账号（用户、群组或服务帐号）无权访问您的项目或其资源。在项目中成功预配 Application Integration 后，您可以添加新的主账号，并为 Application Integration 资源设置访问权限控制。

Application Integration 使用 Identity and Access Management (IAM) 管理项目中的访问权限控制。您可以使用 IAM 在项目级或资源级管理访问权限：

• 如需在项目级层授予对资源的访问权限，请为主帐号分配一个或多个角色。
• 如需授予对特定资源的访问权限，请针对该资源设置 IAM 政策。该资源必须支持资源级政策。政策定义了将哪些角色分配给哪些主账号。

IAM 角色

Google Cloud 项目中的每个主账号都被授予了具有特定权限的角色。向项目或资源添加主账号时，请指定要向其授予的角色。每个 IAM 角色都包含一组权限，这些权限允许主帐号对资源执行特定操作。

如需详细了解 IAM 中不同类型的角色，请参阅了解角色。

如需了解如何向主账号授予角色，请参阅授予、更改和撤消访问权限。

Application Integration 提供一组特定的预定义 IAM 角色。您可以使用这些角色来提供对特定 Application Integration 资源的访问权限，并防止对其他 Google Cloud 资源的不必要的访问。

服务账号

服务账号是与您的项目关联的 Google Cloud 账号，可代表您执行任务或操作。为服务账号分配角色和权限的方式与使用 IAM 为主账号分配角色和权限相同。如需详细了解服务帐号和不同类型的服务帐号，请参阅 IAM 服务帐号。

您必须向服务帐号授予适当的 IAM 角色，该服务帐号才能访问相关的 API 方法。当您向服务帐号授予 IAM 角色后，任何关联该服务帐号的集成都将获得该角色授予的授权。如果您没有所需访问权限级别的预定义角色，您可以创建并授予自定义角色。

Application Integration 使用两种类型的服务帐号：

• 用户代管式服务
• 默认服务帐号

用户代管式服务账号

用户代管式服务帐号可附加到集成，以提供执行任务所需的凭据。如需了解详情，请参阅用户代管式服务。

向集成提供的授权受两种单独的配置限制：向关联的服务帐号授予的角色和访问权限范围。这两种配置都必须允许访问权限，集成才能执行任务。

用户代管式服务帐号具有以下电子邮件地址：

service-account-name@PROJECT_ID.iam.gserviceaccount.com

默认服务账号

已预配 Application Integration 的新 Google Cloud 项目将拥有一个 Application Integration 默认服务账号，该账号具有以下电子邮件地址：

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

在预配期间会创建 Application Integration 默认服务帐号，该帐号会自动添加到您的项目中，并授予基本 IAM 角色和权限。如需了解详情，请参阅默认服务帐号。

如需了解如何向默认服务帐号授予其他角色或权限，请参阅授予、更改和撤消访问权限。

添加服务账号

Application Integration 提供了两种将服务帐号添加到集成的方法：

• 如果您已为区域启用治理功能，则必须在创建新的集成时添加服务帐号。
• 如果您尚未启用治理，则可以选择向集成添加服务帐号。如需将服务帐号添加到现有集成，请参阅修改和查看集成。

身份验证规则

如果您的集成同时配置了 OAuth 2.0 配置文件和用户管理的服务账号，则默认情况下，系统会使用 OAuth 2.0 配置文件进行身份验证。如果 OAuth 2.0 配置文件和用户管理的服务账号均未配置，则系统会使用默认服务账号 (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com)。如果任务不使用默认服务账号，则执行会失败。

授权规则

如果您将服务帐号附加到集成，则必须通过向服务帐号授予的 IAM 角色来确定服务帐号的访问权限级别。如果服务帐号没有 IAM 角色，则无法使用该服务帐号访问任何资源。

通过 OAuth 进行身份验证时，访问权限范围可能会进一步限制对 API 方法的访问权限。但它们不会扩展到其他身份验证协议（如 gRPC）。

IAM 角色

您必须向服务账号授予适当的 IAM 角色，以允许该服务帐号访问相关的 API 方法。

当您向服务帐号授予 IAM 角色后，与该服务帐号关联的任何集成都将获得该角色授予的授权。

访问权限范围

访问权限范围是为集成指定授权的传统方法。这些范围定义了来自 gcloud CLI 或客户端库的请求中使用的默认 OAuth 范围。借助范围，您可以为用户指定访问权限。您可以指定多个范围，并用一个空格（“ ”）。如需了解详情，请参阅适用于 Google API 的 OAuth 2.0 范围。对于用户代管式服务帐号，范围预定义为以下范围：

https://www.googleapis.com/auth/cloud-platform