本页面介绍了如何为 Compute Engine 授予 虚拟机实例权限, Spanner 数据库。
您的实例可以使用服务账号代表您通过 Compute Engine 访问 Cloud Spanner API。服务账号提供了 应用默认凭据 因此无需为每个应用单独配置 Compute Engine 实例,以使用个人用户凭据。
使用以下任一选项在您的实例上配置服务账号:
- 为了便于开发和测试,请将您的实例配置为使用能够全面访问所有 Cloud API 的默认服务账号。
- 对于生产环境 创建拥有 Spanner 数据库读写权限的服务账号 并将其应用于您的实例
配置可访问所有 Cloud API 的实例
要快速允许您的实例访问 Cloud Spanner API,请创建一个新的实例,以使用可以全面访问所有 Cloud API 的默认服务账号。
转到 Compute Engine 虚拟机实例页面。
选择您的项目并点击继续。
点击创建实例以开始创建一个新的实例。
在身份和 API 访问权限部分,点击允许全面访问所有 Cloud API。
根据需要配置其他实例设置,然后点击创建。
现在,您的 Compute Engine 实例上的服务账号已拥有访问权限 到 Cloud Spanner API,请使用客户端库读取 并在 Spanner 数据库中写入数据。该实例使用默认服务账号的凭据进行 Cloud Spanner API 身份验证。
使用服务账号配置实例
如需限制对特定 API 和角色的实例访问权限,请创建一项服务 仅具有访问 Spanner 的权限的账号 数据库。然后,将该服务账号应用到您的实例。
选择代表您访问的服务账号 Spanner。使用以下任一选项:
- 创建新服务账号。
- 确定一个现有服务账号,该服务账号应可用于您的实例。
为服务账号授予角色 以便具有访问 Spanner 的必要权限。对于 适用于 Spanner 的角色列表,请参阅 Spanner 的访问权限控制。
转到 Compute Engine 虚拟机实例页面。
选择您的项目并点击继续。
点击创建实例以开始创建一个新的实例。
在身份和 API 访问权限部分,从服务账号下的列表中选择服务账号。
根据需要配置其他实例设置,然后点击创建。
现在,您的 Compute Engine 实例上的服务账号已拥有访问权限 到 Cloud Spanner API,请使用客户端库读取 并在 Spanner 数据库中写入数据。该实例使用服务账号凭据进行 Cloud Spanner API 身份验证。
后续步骤
- 连接到您的实例 并通过客户端库教程了解如何 从您的实例读取和写入 Spanner。
- 详细了解 Compute Engine 上的服务账号,以及如何使用这些账号为实例上运行的应用授予 IAM 角色和 API 访问权限范围。
- 了解如何更改现有实例上的服务账号。
- 详细了解如何创建和启动 Compute Engine 实例。