本頁面由 Cloud Translation API 翻譯而成。

存取權控管總覽

建立 Google Cloud 專案時，您是專案的唯一主體。根據預設，其他主體 (使用者、群組或服務帳戶) 都不能存取您的專案或專案資源。在專案中成功佈建 Application Integration 後，即可新增主體，並為 Application Integration 資源設定存取權控管。

Application Integration 使用身分與存取權管理 (IAM)，在專案中管理存取權控管。您可以使用 IAM 管理專案層級或資源層級的存取權：

如要在專案層級授予資源存取權，請為主體指派一或多個角色。
如要授予特定資源的存取權，請為該資源設定 IAM 政策。資源必須支援資源層級政策。這項政策會定義要將哪些角色指派給哪些主體。

IAM 角色

專案中的每個主體都會獲派具有特定權限的角色。 Google Cloud 將主體新增至專案或資源時，您必須指定要授予他們的角色。每個 IAM 角色都包含一組權限，可讓主體對資源執行特定動作。

如要進一步瞭解 IAM 中不同類型的角色，請參閱「瞭解角色」。

如要瞭解如何為主體授予角色，請參閱「授予、變更及撤銷存取權」一文。

Application Integration 提供一組特定的預先定義 IAM 角色。您可以使用這些角色授予特定 Application Integration 資源的存取權，並避免其他 Google Cloud 資源遭擅自存取。

服務帳戶

服務帳戶是與專案相關聯的帳戶，可代表您執行工作或作業。 Google Cloud 您必須為服務帳戶指派角色和權限，指派方式與指派主體的角色和權限相同，都是使用 IAM。如要進一步瞭解服務帳戶和不同類型的服務帳戶，請參閱 IAM 服務帳戶。

您必須授予服務帳戶適合的 IAM 角色，才能允許該服務帳戶存取相關聯的 API 方法。將 IAM 角色授予服務帳戶後，任何附加該服務帳戶的整合都會獲得該角色授予的授權。如果預先定義的角色沒有您需要的存取層級，您可以建立並授予自訂角色。

Application Integration 使用兩種服務帳戶：

使用者管理的服務帳戶
預設服務帳戶

使用者自行管理的服務帳戶

使用者管理的服務帳戶可以附加至整合服務，提供執行工作所需的憑證。詳情請參閱「使用者管理的服務帳戶」。

提供給整合服務的授權會受到兩項個別設定的限制：授予所連結服務帳戶的角色和存取權範圍。這兩項設定都必須允許存取權，整合功能才能執行工作。

使用者管理的服務帳戶具有下列電子郵件地址：

service-account-name@PROJECT_ID.iam.gserviceaccount.com

預設服務帳戶

已佈建 Application Integration 的新 Google Cloud 專案會具備 Application Integration 預設服務帳戶，電子郵件地址如下：

service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com

系統會在佈建期間建立 Application Integration 預設服務帳戶，並自動將該帳戶新增至專案，同時授予基本 IAM 角色和權限。詳情請參閱「預設服務帳戶」。

如要瞭解如何將其他角色或權限授予預設服務帳戶，請參閱「授予、變更及撤銷存取權」。

新增服務帳戶

Application Integration 提供兩種方式，可將服務帳戶新增至整合：

如果您已為所在區域啟用控管功能，則必須在建立新整合時新增服務帳戶。
如果尚未啟用控管功能，可以選擇在整合服務中新增服務帳戶。如要將服務帳戶新增至現有整合服務，請參閱「編輯及查看整合服務」。

驗證規則

如果您的整合服務同時設定了 OAuth 2.0 設定檔和使用者管理的服務帳戶，系統預設會使用 OAuth 2.0 設定檔進行驗證。如未設定 OAuth 2.0 設定檔和使用者管理的服務帳戶，系統會使用預設服務帳戶 (service-PROJECT_NUMBER@gcp-sa-integrations.iam.gserviceaccount.com)。如果工作未使用預設服務帳戶，執行作業就會失敗。

授權規則

如果將服務帳戶附加至整合服務，您必須授予服務帳戶 IAM 角色，藉此決定服務帳戶的存取層級。如果服務帳戶沒有 IAM 角色，就無法使用該帳戶存取任何資源。

透過 OAuth 進行驗證時，存取權範圍可能會進一步限制 API 方法的存取。但不會擴展至其他驗證通訊協定，例如 gRPC。

IAM 角色

您必須授予服務帳戶適合的 IAM 角色，才能允許該服務帳戶存取相關聯的 API 方法。

將 IAM 角色授予服務帳戶後，任何附加該服務帳戶的整合都會獲得該角色授予的授權。

存取權範圍

存取權範圍是為整合項目指定授權的舊方法。而是用來定義 gcloud CLI 或用戶端程式庫要求所使用的預設 OAuth 範圍。範圍可讓您指定使用者的存取權限。您可以指定多個範圍，並以單一空格 (" ") 分隔。詳情請參閱「Google API 適用的 OAuth 2.0 範圍」。如果是使用者管理的服務帳戶，範圍會預先定義為下列範圍：

https://www.googleapis.com/auth/cloud-platform