服务身份

本页面介绍了如何在调用 Google Cloud API 时使用访问令牌进行身份验证。

提取访问令牌

当您的代码在 Cloud Run for Anthos on Google Cloud 上运行时,它可以使用计算元数据服务器来提取访问令牌。您无法直接从本地计算机查询元数据服务器。

访问令牌

您可以使用访问令牌来调用 Google API。

默认情况下,访问令牌具有 cloud-platform 范围,因此允许访问所有 Google Cloud API(假设 Identity and Access Management 也允许访问)。要访问其他 Google 服务或 Google Cloud API,您需要提取具有适当范围的访问令牌。

您可以使用计算元数据服务器来提取访问令牌

如果需要具有特定范围的访问令牌,您可以按如下方式生成一个:

curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token?scopes=[SCOPES]" \
  -H "Metadata-Flavor: Google"

其中,SCOPES 是所请求 OAuth 范围的列表(以英文逗号分隔),例如 https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/spreadsheets

要查找所需的范围,请参阅完整的 Google OAuth 范围列表。

后续步骤

了解如何管理对服务的访问权限