本页介绍如何授予您的 Compute Engine 虚拟机实例访问 Spanner 数据库的权限。
您的实例可以使用服务账号代表您通过 Compute Engine 访问 Cloud Spanner API。该服务账号会为您的应用提供应用默认凭据,因此您无需配置每个 Compute Engine 实例即可使用您的个人用户凭据。
使用以下任一选项在您的实例上配置服务账号:
- 为了便于开发和测试,请将您的实例配置为使用能够全面访问所有 Cloud API 的默认服务账号。
- 对于生产环境 创建拥有 Spanner 数据库读写权限的服务账号 并将其应用于您的实例
配置可访问所有 Cloud API 的实例
要快速允许您的实例访问 Cloud Spanner API,请创建一个新的实例,以使用可以全面访问所有 Cloud API 的默认服务账号。
转到 Compute Engine 虚拟机实例页面。
选择您的项目并点击继续。
点击创建实例以开始创建一个新的实例。
在身份和 API 访问权限部分,点击允许全面访问所有 Cloud API。
根据需要配置其他实例设置,然后点击创建。
现在,您的 Compute Engine 实例上的服务账号已拥有访问 Cloud Spanner API 的权限,使用客户端库可在您的 Spanner 数据库中读取和写入数据。该实例使用默认服务账号的凭据进行 Cloud Spanner API 身份验证。
使用服务账号配置实例
如需限制对特定 API 和角色的实例访问权限,请创建一项服务 仅具有访问 Spanner 的权限的账号 数据库。然后,将该服务账号应用到您的实例。
选择一个代表您访问 Spanner 的服务账号。使用以下任一选项:
- 创建新服务账号。
- 确定一个现有服务账号,该服务账号应可用于您的实例。
为服务账号授予角色 获得访问 Spanner 的必要权限。如需查看适用于 Spanner 的角色列表,请参阅 Spanner 的访问权限控制。
转到 Compute Engine 虚拟机实例页面。
选择您的项目并点击继续。
点击创建实例以开始创建一个新的实例。
在身份和 API 访问权限部分,从服务账号下的列表中选择服务账号。
根据需要配置其他实例设置,然后点击创建。
现在,您的 Compute Engine 实例上的服务账号已拥有访问权限 到 Cloud Spanner API,请使用客户端库读取 并在 Spanner 数据库中写入数据。该实例使用服务账号凭据进行 Cloud Spanner API 身份验证。
后续步骤
- 连接到您的实例并遵循客户端库教程,以了解如何通过您的实例对 Spanner 执行读取和写入数据的操作。
- 详细了解 Compute Engine 上的服务账号,以及如何使用这些账号为实例上运行的应用授予 IAM 角色和 API 访问权限范围。
- 了解如何更改现有实例上的服务账号。
- 详细了解如何创建和启动 Compute Engine 实例。