查看 Application Integration 支援的連接器

存取權控管總覽

建立 Google Cloud 專案時,您是專案的唯一實體。根據預設,其他主體 (使用者、群組或服務帳戶) 都無法存取您的專案或專案資源。在專案中成功佈建應用程式整合後,您可以新增新的使用者主體,並為應用程式整合資源設定存取權控管。

應用程式整合會使用身分與存取權管理 (IAM) 來管理專案中的存取權控管。您可以使用 IAM 管理專案層級或資源層級的存取權:

  • 如要授予專案層級資源的存取權,請為實體指派一或多個角色
  • 如要授予特定資源的存取權,請為該資源設定 IAM 政策。資源必須支援資源層級政策。政策會定義要將哪些角色指派給哪些主體。

IAM 角色

Google Cloud 專案中的每個主體都會獲得具有特定權限的角色,將主體新增至專案或資源時,您必須指定要授予他們的角色。每個 IAM 角色都包含一組權限,可讓主體對資源執行特定動作。

如要進一步瞭解 IAM 中的不同類型角色,請參閱「瞭解角色」一文。

如要進一步瞭解如何為主體授予角色,請參閱「授予、變更及撤銷存取權」一文。

應用程式整合提供一組特定的預先定義 IAM 角色。您可以使用這些角色,提供存取特定 Application Integration 資源的權限,並防止其他 Google Cloud 資源遭到擅自存取。

服務帳戶

服務帳戶是 Google Cloud 與專案相關聯的帳戶,可代表您執行工作或作業。您必須為服務帳戶指派角色和權限,指派方式與使用 IAM 指派實體的角色和權限相同。如要進一步瞭解服務帳戶和不同類型的服務帳戶,請參閱「IAM 服務帳戶」。

您必須授予服務帳戶適合的 IAM 角色,才能允許該服務帳戶存取相關聯的 API 方法。當您將 IAM 角色授予服務帳戶後,任何已連結該服務帳戶的整合服務都會獲得該角色授予的授權。如果預先定義的角色沒有您需要的存取層級,您可以建立並授予自訂角色

應用程式整合會使用兩種服務帳戶:

使用者自行管理的服務帳戶

您可以將使用者管理的服務帳戶附加至整合,以便提供執行工作所需的憑證。詳情請參閱「使用者管理的服務帳戶」。

整合功能的授權受到兩個個別設定的限制:授予已連結服務帳戶的角色,以及存取權範圍。這兩項設定都必須允許存取權,整合功能才能執行工作。

使用者自行管理的服務帳戶電子郵件地址如下所示:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

預設服務帳戶

已佈建應用程式整合功能的新 Google Cloud 專案,會設有應用程式整合預設服務帳戶,其電子郵件地址如下:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

應用程式整合預設服務帳戶會在佈建期間建立,並自動新增至專案,並具備基本 IAM 角色和權限。詳情請參閱「預設服務帳戶」。

如要進一步瞭解如何為預設服務帳戶授予其他角色或權限,請參閱「授予、變更及撤銷存取權」一文。

新增服務帳戶

應用程式整合提供兩種方式,可將服務帳戶新增至整合項目:

驗證規則

如果整合作業同時設定 OAuth 2.0 設定檔和使用者管理的服務帳戶,系統預設會使用 OAuth 2.0 設定檔進行驗證。如果未設定 OAuth 2.0 設定檔或使用者自管服務帳戶,系統會使用預設服務帳戶 (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com)。如果工作未使用預設服務帳戶,執行作業就會失敗。

授權規則

如果您將服務帳戶附加至整合項目,則必須根據授予服務帳戶的 IAM 角色,判斷服務帳戶的存取權層級。如果服務帳戶沒有 IAM 角色,則無法使用服務帳戶存取任何資源。

透過 OAuth 進行驗證時,存取權範圍可能會進一步限制 API 方法的存取。但不會擴展至其他驗證通訊協定,例如 gRPC。

IAM 角色

您必須授予服務帳戶適合的 IAM 角色,才能允許該服務帳戶存取相關聯的 API 方法。

當您將 IAM 角色授予服務帳戶時,任何已連結該服務帳戶的整合都會獲得該角色授予的授權。

存取權範圍

存取權範圍是為整合項目指定授權的傳統方法。而是用來定義 gcloud CLI 或用戶端程式庫要求所使用的預設 OAuth 範圍。範圍可讓您指定使用者的存取權限。您可以指定多個範圍,並以空格 (「 "」) 分隔。詳情請參閱 Google API 適用的 OAuth 2.0 範圍。對於使用者自行管理的服務帳戶,範圍預先定義為下列範圍:

https://www.googleapis.com/auth/cloud-platform