本页面介绍如何向 Compute Engine 虚拟机实例授予访问 Spanner 数据库的权限。
您的实例可以使用服务账号代表您通过 Compute Engine 访问 Cloud Spanner API。该服务帐号会为您的应用提供应用默认凭据,因此您无需将每个 Compute Engine 实例配置为使用您的个人用户凭据。
使用以下任一选项在您的实例上配置服务账号:
- 为了便于开发和测试,请将您的实例配置为使用能够全面访问所有 Cloud API 的默认服务账号。
- 对于生产环境,请创建一个对 Spanner 数据库拥有读写权限的服务帐号,并将其应用于您的实例。
配置可访问所有 Cloud API 的实例
要快速允许您的实例访问 Cloud Spanner API,请创建一个新的实例,以使用可以全面访问所有 Cloud API 的默认服务账号。
转到 Compute Engine 虚拟机实例页面。
选择您的项目并点击继续。
点击创建实例以开始创建一个新的实例。
在身份和 API 访问权限部分,点击允许全面访问所有 Cloud API。
根据需要配置其他实例设置,然后点击创建。
现在,您的 Compute Engine 实例上的服务帐号有权访问 Cloud Spanner API,请使用客户端库在 Spanner 数据库中读取和写入数据。该实例使用默认服务账号的凭据进行 Cloud Spanner API 身份验证。
使用服务账号配置实例
如需限制实例对特定 API 和角色的访问权限,请创建一个仅具有 Spanner 数据库访问权限的服务帐号。然后,将该服务账号应用到您的实例。
选择一个代表您访问 Spanner 的服务帐号。使用以下任一选项:
- 创建新服务账号。
- 确定一个现有服务账号,该服务账号应可用于您的实例。
为服务帐号授予一个角色,以使其具有访问 Spanner 的必要权限。如需查看适用于 Spanner 的角色列表,请参阅 Spanner 访问权限控制。
转到 Compute Engine 虚拟机实例页面。
选择您的项目并点击继续。
点击创建实例以开始创建一个新的实例。
在身份和 API 访问权限部分,从服务账号下的列表中选择服务账号。
根据需要配置其他实例设置,然后点击创建。
现在,您的 Compute Engine 实例上的服务帐号有权访问 Cloud Spanner API,请使用客户端库在 Spanner 数据库中读取和写入数据。该实例使用服务账号凭据进行 Cloud Spanner API 身份验证。
后续步骤
- 连接到您的实例并遵循客户端库教程,了解如何从您的实例对 Spanner 执行读取和写入数据的操作。
- 详细了解 Compute Engine 上的服务账号,以及如何使用这些账号为实例上运行的应用授予 IAM 角色和 API 访问权限范围。
- 了解如何更改现有实例上的服务账号。
- 详细了解如何创建和启动 Compute Engine 实例。