reCAPTCHA Enterprise 提供使用 Identity and Access Management (IAM) 的基于角色的访问权限控制 (RBAC),并使用 VPC Service Controls 为 reCAPTCHA Enterprise API 提供访问权限控制。
使用 IAM 的基于角色的访问权限控制
使用 IAM 的基于角色的访问控制 (RBAC) 是 reCAPTCHA Enterprise 和所有较低版本的 reCAPTCHA 之间的主要区别。借助 IAM,您可以授予对特定 Google Cloud 资源的精细访问权限,并阻止对其他资源(例如日志和分析)的不必要访问。
本部分介绍了 reCAPTCHA Enterprise 的 IAM 角色。
如需了解如何向用户或服务账号分配 IAM 角色,请阅读 IAM 文档中的授予、更改和撤消对资源的访问权限。
角色与权限
下表列出了 reCAPTCHA Enterprise 所必需的 IAM 角色及其权限:
角色名称 | 角色说明 | 角色对象 | 角色权限 |
---|---|---|---|
reCAPTCHA Enterprise Agent | 拥有创建 reCAPTCHA Enterprise 评估并为其添加注释的权限 请将此角色用于服务账号。 |
roles/recaptchaenterprise.agent |
recaptchaenterprise.assessments.create
recaptchaenterprise.assessments.annotate |
reCAPTCHA Enterprise Admin | 拥有创建、修改和删除 reCAPTCHA Enterprise 密钥的权限。 | roles/recaptchaenterprise.admin |
recaptchaenterprise.viewer
recaptchaenterprise.keys.create
recaptchaenterprise.keys.delete
recaptchaenterprise.keys.update
recaptchaenterprise.keys.retrievelegacysecretkey |
reCAPTCHA Enterprise Viewer | 拥有查看 reCAPTCHA Enterprise 密钥的权限 | roles/recaptchaenterprise.viewer |
monitoring.timeSeries.list
recaptchaenterprise.keys.get
recaptchaenterprise.keys.list
recaptchaenterprise.metrics.get
recaptchaenterprise.projectmetadata.get
resourcemanager.projects.get
resourcemanager.projects.list
|
自定义角色
对于监管要求等用例,您可能需要自定义角色。如需创建包含 reCAPTCHA Enterprise 权限的自定义角色,请执行下表所示的相应操作:
角色说明 | 操作 |
---|---|
仅可授予 reCAPTCHA Enterprise API 的权限的角色 | 从 API 权限部分的权限中进行选择。 |
可授予 reCAPTCHA Enterprise API 和控制台的权限的角色 | 选择角色和权限部分中的权限组。 |
可授予创建评估和给评估添加注释的功能的角色 | 在角色和权限部分的 roles/recaptchaenterprise.agent 角色中添加权限。 |
如需详细了解自定义角色,请转至创建和管理自定义角色。
API 权限
下表列出了调用方在调用 reCAPTCHA Enterprise API recaptchaenterprise.googleapis.com/v1
中的每个方法时必须具有的权限:
方法 (REST/RPC) | 所需权限 | 适用的资源类型 |
---|---|---|
recaptchaenterprise.assessments.annotate / AnnotateAssessmentRequest |
recaptchaenterprise.assessments.annotate |
项目 |
recaptchaenterprise.assessments.create / CreateAssessmentRequest |
recaptchaenterprise.assessments.create |
个项目 |
recaptchaenterprise.keys.create / CreateKeyRequest |
recaptchaenterprise.keys.create |
个项目 |
recaptchaenterprise.keys.delete / DeleteKeyRequest |
recaptchaenterprise.keys.delete |
个项目 |
recaptchaenterprise.keys.get / GetKeyRequest |
recaptchaenterprise.keys.get |
个项目 |
recaptchaenterprise.keys.list / ListKeysRequest |
recaptchaenterprise.keys.list |
个项目 |
recaptchaenterprise.keys.update / UpdateKeyRequest |
recaptchaenterprise.keys.update |
个项目 |
VPC Service Controls
VPC Service Controls 支持 reCAPTCHA Enterprise 为 reCAPTCHA Enterprise API 提供额外的访问权限控制。如需了解详情,请参阅支持的产品和限制 > reCAPTCHA Enterprise。