Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על בקרת גישה

כשיוצרים Google Cloud פרויקט, אתם הגורם הראשי היחיד בפרויקט. כברירת מחדל, לאף חשבון ראשי אחר (משתמשים, קבוצות או חשבונות שירות) אין גישה לפרויקט או למשאבים שלו. אחרי הקצאת הרשאות מוצלחת ל-Application Integration בפרויקט, אפשר להוסיף ישויות חדשות ולהגדיר בקרת גישה למשאבי Application Integration.

ב-Application Integration נעשה שימוש בניהול זהויות והרשאות גישה (IAM) כדי לנהל את בקרת הגישה בתוך הפרויקט. אתם יכולים להשתמש ב-IAM כדי לנהל את הגישה ברמת הפרויקט או ברמת המשאב:

כדי להעניק גישה למשאבים ברמת הפרויקט, מקצים לחשבון משתמש אחד או יותר תפקידים.
כדי להעניק גישה למשאב ספציפי, צריך להגדיר מדיניות IAM למשאב הזה. המשאב צריך לתמוך במדיניות ברמת המשאב. המדיניות מגדירה אילו תפקידים מוקצים לאילו חשבונות משתמשים.

תפקידי IAM

לכל חשבון משתמש בפרויקט מוקצה תפקיד עם הרשאות ספציפיות. Google Cloud כשמוסיפים חשבון משתמש לפרויקט או למשאב, מציינים אילו תפקידים להקצות לו. כל תפקיד IAM מכיל קבוצה של הרשאות שמאפשרות לחשבון המשתמש לבצע פעולות ספציפיות במשאב.

מידע נוסף על הסוגים השונים של תפקידים ב-IAM זמין במאמר הסבר על תפקידים.

במאמר הענקה, שינוי וביטול גישה מוסבר איך נותנים תפקידים לחשבונות משתמשים.

שירות Application Integration מספק קבוצה ספציפית של תפקידי IAM מוגדרים מראש. אתם יכולים להשתמש בתפקידים האלה כדי לספק גישה למשאבים ספציפיים של Application Integration ולמנוע גישה לא רצויה למשאבים אחרים ב-Google Cloud.

חשבונות שירות

חשבונות שירות הם Google Cloud חשבונות שמשויכים לפרויקט שלכם ויכולים לבצע משימות או פעולות בשמכם. חשבונות שירות מקבלים תפקידים והרשאות בדיוק כמו חשבונות משתמשים, באמצעות IAM. מידע נוסף על חשבונות שירות ועל הסוגים השונים של חשבונות שירות זמין במאמר חשבונות שירות ב-IAM.

כדי לאפשר לחשבון שירות גישה לשיטות API רלוונטיות, צריך להקצות לחשבון השירות את התפקידים המתאימים ב-IAM. כשמקצים תפקיד IAM לחשבון שירות, כל שילוב שמצורף אליו חשבון השירות הזה יקבל את ההרשאה שמוענקת על ידי התפקיד. אם אין תפקיד מוגדר מראש לרמת הגישה שאתם רוצים, אתם יכולים ליצור ולהעניק תפקידים בהתאמה אישית.

ב-Application Integration נעשה שימוש בשני סוגים של חשבונות שירות:

חשבון שירות בניהול המשתמשים
חשבון שירות שמוגדר כברירת מחדל

חשבון שירות בניהול המשתמש

אפשר לצרף חשבון שירות בניהול המשתמשים לשילוב כדי לספק פרטי כניסה להרצת המשימה. מידע נוסף מופיע במאמר חשבונות שירות בניהול המשתמשים.

ההרשאה שניתנת לשילוב מוגבלת על ידי שתי הגדרות נפרדות: התפקידים שמוקצים לחשבון השירות המצורף והיקפי הגישה. כדי שהשילוב יוכל לבצע את המשימה, שתי ההגדרות האלה צריכות לאפשר גישה.

כתובת האימייל של חשבון שירות שמנוהל על ידי משתמש היא:

service-account-name@PROJECT_ID.iam.gserviceaccount.com

חשבון שירות המשמש כברירת מחדל

בפרויקטים חדשים ב-Google Cloud שבהם הוקצה Application Integration, יש חשבון שירות שמוגדר כברירת מחדל ל-Application Integration, עם כתובת האימייל הבאה:

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

חשבון השירות שמוגדר כברירת מחדל ל-Application Integration נוצר במהלך הקצאת ההרשאות, ומתווסף אוטומטית לפרויקט עם תפקידי ה-IAM וההרשאות הבסיסיות. מידע נוסף מופיע במאמר חשבונות שירות שמוגדרים כברירת מחדל.

מידע על מתן תפקידים או הרשאות נוספים לחשבון השירות שמוגדר כברירת מחדל זמין במאמר מתן, שינוי וביטול גישה.

הוספת חשבון שירות

ב-Application Integration יש שתי דרכים להוסיף חשבון שירות לשילוב:

אם הפעלתם את אמצעי הבקרה באזור שלכם, אתם צריכים להוסיף חשבון שירות כשאתם יוצרים שילוב חדש.
אם לא הפעלתם את האפשרות 'ניהול הרשאות', תוכלו להוסיף לחשבון השירות את השילוב. כדי להוסיף חשבון שירות לאינטגרציה קיימת, אפשר לעיין במאמר עריכה של אינטגרציות וצפייה בהן.

כלל אימות

אם בשילוב שלכם מוגדרים גם פרופיל OAuth 2.0 וגם חשבון שירות בניהול המשתמש, כברירת מחדל נעשה שימוש בפרופיל OAuth 2.0 לאימות. אם לא מוגדר פרופיל OAuth 2.0 ולא מוגדר חשבון שירות בניהול המשתמש, נעשה שימוש בחשבון השירות שמוגדר כברירת מחדל (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com). אם המשימה לא משתמשת בחשבון השירות שמוגדר כברירת מחדל, ההרצה נכשלת.

כלל הרשאה

אם מצרפים חשבון שירות לשילוב, צריך לקבוע את רמת הגישה של חשבון השירות באמצעות תפקידי ה-IAM שמקצים לחשבון השירות. אם לחשבון השירות אין תפקידי IAM, אי אפשר לגשת למשאבים באמצעות חשבון השירות.

יכול להיות שהיקפי הגישה יגבילו עוד יותר את הגישה לשיטות API כשמבצעים אימות באמצעות OAuth. עם זאת, הם לא חלים על פרוטוקולי אימות אחרים כמו gRPC.

תפקידי IAM

כדי לאפשר לחשבון שירות גישה לשיטות API רלוונטיות, צריך להקצות לחשבון השירות את התפקידים המתאימים ב-IAM.

כשמקצים תפקיד IAM לחשבון שירות, כל שילוב שמצורף אליו חשבון השירות הזה יקבל את ההרשאה שמוענקת על ידי התפקיד.

היקפי גישה

היקפי גישה הם השיטה הקודמת להגדרת הרשאה לשילוב. הם מגדירים את היקפי הרשאות OAuth שמוגדרים כברירת מחדל ומשמשים בבקשות מ-CLI של gcloud או מספריות הלקוח. היקפים מאפשרים לכם לציין הרשאות גישה למשתמשים. אפשר לציין כמה היקפי הרשאות שמופרדים ברווח אחד (" "). למידע נוסף, אפשר לעיין במאמר בנושא היקפי הרשאות של OAuth 2.0 ל-Google APIs. בחשבונות שירות בניהול המשתמשים, ההיקף מוגדר מראש להיקף הבא:

https://www.googleapis.com/auth/cloud-platform