API 访问权限概览

本页介绍 Cloud Endpoints 中可用的 API 访问权限控制选项。

概览

Endpoints 使用 Identity and Access Management (IAM) 来控制对 API 的访问权限。您可以在项目级层和个别 Endpoints 服务级层授予对 API 的访问权限。例如,您可以执行以下操作:

  • 按服务向项目成员授予访问权限。
  • 向用户或服务帐号授予部署更新后的 Endpoints 配置的权限。
  • 向 API 用户授予访问权限,以便他们可以在自己的 Google Cloud 项目中启用您的 API。

控制对服务的访问权限的角色

您可以针对特定服务授予以下角色,这项操作可以在 Google Cloud Console 的 Endpoints > 服务页面上执行,也可以使用 API 或 gcloud 命令行工具执行。

IAM 角色名称 角色称谓 说明
roles/servicemanagement.serviceConsumer Service Consumer 可为非项目成员授予在其自己的项目中查看和启用 API 所需的权限。Service Consumer 角色只能授予 Google 帐号、Google 群组或服务帐号。如果您已为 API 创建门户,则获授这一角色的 API 用户可以访问此门户。如需了解此角色,请参阅 Service Management API 访问权限控制主题。
roles/servicemanagement.serviceController Service Controller 可提供在运行期间调用 Service Infrastructure API 中的 check report 方法所需的权限。此角色通常授予服务帐号。如需了解此角色,请参阅 Service Management API 访问权限控制主题。
roles/servicemanagement.configEditor Service Config Editor 可提供部署 Endpoints 配置的权限。与在服务级层授予的 Project Editor 角色相比,此角色的限制性更高。
roles/servicemanagement.admin Service Management Administrator 可提供 Service Config Editor 的全部权限,以及管理 API 访问的权限。此角色与在服务级层授予的 Project Owner 角色相当。

Endpoints 门户权限

Endpoints Portal Admin 角色是项目级层角色,可提供以下权限。

权限 说明
endpoints.portals.listCustomDomains 要访问 Cloud Console 中的 Endpoints 门户页面,需要具备此权限。被授予 Project Viewer 角色的项目成员也会拥有此权限。
endpoints.portals.attachCustomDomain 要在 Cloud Console 的 Endpoints 门户页面上添加自定义网域,需要具备此权限。被授予 Project Editor 角色的项目成员也会拥有此权限。
endpoints.portals.detachCustomDomain 要在 Cloud Console 的 Endpoints 门户页面上删除自定义网域,需要具备此权限。被授予 Project Editor 角色的项目成员也会拥有此权限。
endpoints.portals.update 在为 API 创建的门户上,要访问设置页面上的网站级标签页,以更改该门户上使用的颜色和徽标等设置,需要具备此权限。

后续步骤