身份验证

> 本页面包含 Security Command Center、Event Threat Detection 和 Web Security Scanner 的身份验证信息。

Security Command Center 身份验证

本部分介绍 Security Command Center 的身份验证信息。

支持的身份验证方法

Security Command Center 支持以下身份验证方法。

服务帐号

对于几乎所有使用场景,无论是本地开发还是生产应用,我们都建议您使用服务帐号。如需查看如何使用服务帐号设置身份验证的示例,请参阅以编程方式访问 Security Command Center

如需详细了解如何为生产应用设置身份验证,请参阅为服务器到服务器的生产应用设置身份验证

用户帐号

当应用需要代表最终用户访问资源时,您可以直接向应用验证用户的身份。 对于大多数使用场景,建议改用服务帐号。

通过 Security Command Center 使用用户帐号的原因示例包括:

  • 如果您的应用使用最终用户身份验证,则需要在调用方法时指定 OAuth 范围。对于每种方法的 OAuth 范围,请参阅 Security Command Center 参考

如需详细了解如何使用用户帐号设置身份验证,请参阅以最终用户身份进行身份验证

Event Threat Detection 身份验证

本部分介绍 Event Threat Detection 的身份验证信息。

支持的身份验证方法

Event Threat Detection 支持以下身份验证方法。

服务帐号

几乎所有的使用场景都建议使用服务帐号,无论是在本地开发还是在生产应用中开发。

如需详细了解如何为生产应用设置身份验证,请参阅为服务器到服务器的生产应用设置身份验证

用户帐号

当应用需要代表最终用户访问资源时,您可以直接向应用验证用户的身份。 对于大多数使用场景,建议改用服务帐号

使用具有 Event Threat Detection 的用户帐号的原因示例包括:

如果您的应用使用最终用户身份验证,则需要在调用方法时指定 OAuth 范围。如需了解每种方法的 OAuth 范围,请参阅 Security Command Center 参考文档

如需详细了解如何使用用户帐号设置身份验证,请参阅以最终用户身份进行身份验证

Web Security Scanner 身份验证

本部分介绍调用 Web Security Scanner API 的身份验证信息。

支持的身份验证方法

Web Security Scanner API 支持以下身份验证方法。要对 API 进行调用,请使用如下所述的方法。

服务帐号

对于几乎所有使用场景,无论是在本地开发中还是在生产应用中,我们都建议您使用服务帐号。

要使用服务帐号对 Web Security Scanner 进行身份验证,请按照创建服务帐号中的相关说明执行操作。选择 JSON 作为密钥类型。

创建服务帐号后,您的服务帐号密钥将下载到浏览器的默认下载位置。

不记名令牌

如果您直接调用 Web Security Scanner API(例如使用 cURL 发出 HTTP 请求),您将在 Authorization 标头中以不记名令牌形式传递身份验证。要使用您的服务帐号获取不记名令牌,请按以下步骤操作:

  1. 安装 gcloud 命令行工具
  2. 对您的服务帐号进行身份验证,其中 key-file 是服务帐号密钥文件的路径:

    gcloud auth activate-service-account --key-file key-file
    
  3. 使用您的服务帐号获取授权令牌:

    gcloud auth print-access-token
    

    该命令会返回一个访问令牌值。

  4. 调用 API 时,在 Authorization 标头中将令牌值以 bearer 令牌形式传递:

    curl -s -H 'Content-Type: application/json' \
      -H 'Authorization: Bearer access-token' \
      'https://websecurityscanner.googleapis.com/v1/projects/project-id/scanConfigs' \
    

访问权限控制

角色可限制已经过身份验证的身份对资源的访问权限。构建生产应用时,请仅向身份授予其与适用的 Google Cloud API、功能或资源进行交互所需的权限。

如需详细了解这些角色,请参阅访问权限控制

后续步骤