允许使用GCP API（例如驱动器，工作表等）的角色是什么？

Question

我想使用Python3中的Drive＆Sheets API。 我试图在GCP控制台中创建一个服务帐户，但是它说You already have credentials that are suitable for this purpose，但没有告诉我GCP的角色是什么使其适合。

现在，我想查找该角色并将其添加到我最喜欢的服务帐户中。我不想创建一个新的，也不想使用已经合适的。

允许使用Google API的角色名称是什么？

Answer 1

我认为这令人困惑，在Google的文档中解释不清，但是IAM和OAuth范围大多是（现在）互补技术。我认为IAM可以改进或提供更细化，特定于帐户的凭据范围

首先出现作用域，然后是IAM。

IAM（实际上是Cloud IAM）仅适用于Google Cloud Platform（GCP）服务。

所有 Google的API（包括GCP的API）都具有OAuth范围。

https://developers.google.com/identity/protocols/googlescopes

对于您来说，驱动器和工作表是G Suite的一部分，不包含在Cloud IAM中。因此，没有可供您分配给适用于这些服务的服务帐户的IAM角色。

对于GCP服务，习惯上（虽然看似多余）同时使用IAM和范围。

通常，您会看到https://www.googleapis.com/auth/cloud-platform被用作全部|默认范围。

更新：回想一下，我应该为此添加一个限定符，OAuth范围对于服务帐户实际上是多余的。对于最终用户委派权限的基于用户的OAuth流程，范围保持相关性，因为它们汇总了最终用户在授予代码之前进行检查的权限。