查看 Application Integration 支持的连接器。

访问权限控制概览

当您创建某一 Google Cloud 项目后，您便成为该项目的唯一负责人。默认情况下，任何其他主账号（用户、群组或服务账号）都无权访问您的项目或其资源。在项目中成功预配 Application Integration 后，您可以添加新的正文并为 Application Integration 资源设置访问权限控制。

Application Integration 使用 Identity and Access Management (IAM) 来管理项目中的访问权限控制。您可以使用 IAM 在项目级或资源级管理访问权限：

• 如需在项目级层授予资源访问权限，请为主账号分配一个或多个角色。
• 如需授予对特定资源的访问权限，请对该资源设置 IAM 政策。该资源必须支持资源级政策。政策定义了将哪些角色分配给哪些主账号。

IAM 角色

您的 Google Cloud 项目中的每个正文都会被授予具有特定权限的角色。当您将主账号添加到项目或资源中时，请指定要向其授予的角色。每个 IAM 角色都包含一组权限，可让主账号对资源执行特定操作。

如需详细了解 IAM 中不同类型的角色，请参阅了解角色。

如需了解如何向主账号授予角色，请参阅授予、更改和撤消访问权限。

Application Integration 提供了一组特定的预定义 IAM 角色。您可以使用这些角色授予对特定 Application Integration 资源的访问权限，并防止对其他 Google Cloud 资源进行不必要的访问。

服务账号

服务账号是 Google Cloud 与您的项目相关联的账号，可代表您执行任务或操作。为服务账号分配角色和权限的方式与使用 IAM 为正文分配角色和权限的方式相同。如需详细了解服务账号和不同类型的服务账号，请参阅 IAM 服务账号。

您必须向服务账号授予适当的 IAM 角色，该服务账号才能访问相关的 API 方法。 将 IAM 角色授予某个服务账号后，附加了该服务账号的任何集成都将具有该角色授予的权限。如果您需要的访问权限级别没有预定义角色，您可以创建并授予自定义角色。

Application Integration 使用两种类型的服务账号：

• 用户管理的服务账号
• 默认服务账号

用户管理的服务账号

您可以将用户代管式服务账号附加到集成，以便提供执行任务的凭据。如需了解详情，请参阅用户代管式服务。

向集成提供的授权会受到以下两个单独配置的限制：授予关联的服务账号的角色以及访问权限范围。这两种配置都必须允许访问，然后集成才能执行任务。

用户代管式服务账号的电子邮件地址如下所示：

service-account-name@PROJECT_ID.iam.gserviceaccount.com

默认服务账号

已预配 Application Integration 的新 Google Cloud 项目具有 Application Integration 默认服务账号，该账号的电子邮件地址为：

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

系统会在配置期间创建应用集成默认服务账号，并自动将其添加到您的项目中，并为其分配基本 IAM 角色和权限。如需了解详情，请参阅默认服务账号。

如需了解如何向默认服务账号授予其他角色或权限，请参阅授予、更改和撤消访问权限。

添加服务账号

• 如果您为所在地区启用了治理功能，则必须在创建新的集成时添加服务账号。
• 如果您尚未启用治理功能，则可以选择为集成添加服务账号。如需向现有集成添加服务账号，请参阅修改和查看集成。

身份验证规则

如果您的集成同时配置了 OAuth 2.0 配置文件和用户管理的服务账号，则默认情况下，系统会使用 OAuth 2.0 配置文件进行身份验证。如果 OAuth 2.0 配置文件和用户管理的服务账号均未配置，则系统会使用默认服务账号 (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com)。如果任务不使用默认服务账号，则执行会失败。

授权规则

如果您向集成关联了服务账号，则必须通过授予该服务账号的 IAM 角色确定服务账号的访问权限级别。如果服务账号没有 IAM 角色，则无法使用该服务账号访问资源。

通过 OAuth 进行身份验证时，访问权限范围可能会进一步限制对 API 方法的访问权限。但不会扩展到其他身份验证协议（如 gRPC）。

IAM 角色

您必须向服务账号授予适当的 IAM 角色，该服务账号才能访问相关的 API 方法。

将 IAM 角色授予某个服务账号后，附加了该服务账号的任何集成都将具有该角色授予的权限。

访问权限范围

访问权限范围是为集成指定授权的传统方法。它们定义来自 gcloud CLI 或客户端库的请求中使用的默认 OAuth 范围。您可以通过范围来指定用户的访问权限。您可以指定多个范围，以单个空格（“ ”）分隔。如需了解详情，请参阅适用于 Google API 的 OAuth 2.0 范围。对于用户代管式服务账号，范围已预定义为以下范围：

https://www.googleapis.com/auth/cloud-platform