API 访问权限概览

本页介绍 Cloud Endpoints 中可用的 API 访问权限控制选项。

概览

Endpoints 使用 Identity and Access Management (IAM) 来控制对 API 的访问权限。您可以在项目级层和个别 Endpoints 服务级层授予对 API 的访问权限。例如，您可以执行以下操作：

• 按服务向主账号授予访问权限。
• 向用户或服务账号授予部署更新后的 Endpoints 配置的权限。
• 向 API 用户授予访问权限，以便他们可以在自己的Google Cloud 项目中启用您的 API。

控制对服务的访问权限的角色

您可以针对特定服务授予以下角色，这项操作可以在 Google Cloud 控制台的 Endpoints > Services 页面上执行，也可以使用 API 或 Google Cloud CLI 执行。

IAM 角色名称	角色称谓	说明
roles/servicemanagement.serviceConsumer	Service Consumer	可向主账号授予在其自己的项目中查看和启用 API 的权限。Service Consumer 角色只能授予 Google 账号、Google 群组或服务账号。
roles/servicemanagement.serviceController	Service Controller	可提供在运行期间调用 Service Infrastructure API 中的 check 和 report 方法所需的权限。此角色通常授予服务账号。如需了解此角色，请参阅 Service Management API 访问权限控制主题。
roles/servicemanagement.configEditor	Service Config Editor	可提供部署 Endpoints 配置的权限。与在服务级层授予的 Project Editor 角色相比，此角色的限制性更高。
roles/servicemanagement.admin	Service Management Administrator	可提供 Service Config Editor 的全部权限，以及管理 API 访问的权限。此角色与在服务级层授予的 Project Owner 角色相当。

后续步骤

• 控制谁能启用您的 API。
• 授予和撤消对 API 的访问权限。