本页介绍 Cloud Endpoints 中可用的 API 访问权限控制选项。
概览
Endpoints 使用 Identity and Access Management (IAM) 来控制对 API 的访问权限。您可以在项目级层和个别 Endpoints 服务级层授予对 API 的访问权限。例如,您可以执行以下操作:
- 按服务向项目成员授予访问权限。
- 向用户或服务帐号授予部署更新后的 Endpoints 配置的权限。
- 向 API 用户授予访问权限,以便他们可以在自己的 Google Cloud 项目中启用您的 API。
控制对服务的访问权限的角色
您可以针对特定服务授予以下角色,这项操作可以在 Google Cloud Console 的 Endpoints > 服务页面上执行,也可以使用 API 或 gcloud 命令行工具执行。
| IAM 角色名称 | 角色称谓 | 说明 |
|---|---|---|
roles/servicemanagement.serviceConsumer |
Service Consumer | 可为非项目成员授予在其自己的项目中查看和启用 API 所需的权限。Service Consumer 角色只能授予 Google 帐号、Google 群组或服务帐号。如果您已为 API 创建门户,则获授这一角色的 API 用户可以访问此门户。如需了解此角色,请参阅 Service Management API 访问权限控制主题。 |
roles/servicemanagement.serviceController |
Service Controller | 可提供在运行期间调用 Service Infrastructure API 中的 check 和
report 方法所需的权限。此角色通常授予服务帐号。如需了解此角色,请参阅 Service Management API 访问权限控制主题。 |
roles/servicemanagement.configEditor |
Service Config Editor | 可提供部署 Endpoints 配置的权限。与在服务级层授予的 Project Editor 角色相比,此角色的限制性更高。 |
roles/servicemanagement.admin |
Service Management Administrator | 可提供 Service Config Editor 的全部权限,以及管理 API 访问的权限。此角色与在服务级层授予的 Project Owner 角色相当。 |
Endpoints 门户权限
Endpoints Portal Admin 角色是项目级层角色,可提供以下权限。
| 权限 | 说明 |
|---|---|
endpoints.portals.listCustomDomains |
要访问 Cloud Console 中的 Endpoints 门户页面,需要具备此权限。被授予 Project Viewer 角色的项目成员也会拥有此权限。 |
endpoints.portals.attachCustomDomain |
要在 Cloud Console 的 Endpoints 门户页面上添加自定义网域,需要具备此权限。被授予 Project Editor 角色的项目成员也会拥有此权限。 |
endpoints.portals.detachCustomDomain |
要在 Cloud Console 的 Endpoints 门户页面上删除自定义网域,需要具备此权限。被授予 Project Editor 角色的项目成员也会拥有此权限。 |
endpoints.portals.update |
在为 API 创建的门户上,要访问设置页面上的网站级标签页,以更改该门户上使用的颜色和徽标等设置,需要具备此权限。 |