設定 API 存取權

以下說明如何使用 SDK 或 REST 設定 Data Manager API 的存取權。

必要條件

使用 Data API 前,請先確認下列事項:

  1. Google Cloud 專案。 您可以選擇使用現有專案,或是專為 Data Manager API 建立新專案。

  2. 在 Google Cloud 雲端專案中具有 serviceusage.services.enable 權限的 Google 帳戶,或具有包含該權限的角色。舉例來說,roles/ownerroles/serviceusage.serviceUsageAdmin 都包含 serviceusage.services.enable 權限。如要查看權限,請參閱「查看目前的存取權」。

  3. 安裝 Google Cloud CLI。

啟用 API

如果尚未啟用 Data Manager API,請按一下「啟用 Data Manager API」,或按照操作說明手動執行這個步驟。

啟用 Data Manager API

如果找不到 Data Manager API 或啟用 Data Manager API 失敗,請確認您的 Google 帳戶符合必要條件

設定驗證方法

除了 API 金鑰,您也可以使用Google 的任何驗證方法。建議您參閱「為您的用途選擇合適的驗證方法」,決定適合您用途的方法。

常見的驗證方法有使用者帳戶服務帳戶

  • 使用者帳戶:代表直接與 Google API 和服務互動的使用者。
  • 服務帳戶:代表應用程式,而非使用者。可讓應用程式管理驗證和授權。舉例來說,如果應用程式需要存取 Google Cloud 資源。

整合項目可以使用應用程式預設憑證 (ADC),自動從環境中尋找憑證,因此您不必變更用戶端程式碼進行驗證。

選擇「使用者帳戶」或「服務帳戶」來設定 ADC:

使用者帳戶

如要使用使用者帳戶憑證進行驗證,請按照下列步驟操作:

  1. 為專案設定 Google Auth Platform

    1. 在 Google Cloud 控制台中開啟品牌頁面

    2. 選取專案。

    3. 填寫表單,然後按一下「建立」

  2. 由於 Data Manager API 範圍屬於機密範圍,因此必須執行下列步驟:

    1. 前往專案的「資料存取權」設定。

    2. 按一下「新增或移除範圍」

    3. 在範圍清單中,勾選「Data Manager API」旁的方塊,然後按一下「更新」

    4. 按一下 [儲存]

    5. 前往 Google Cloud 控制台的「目標對象」,然後更新「發布狀態」和「使用者類型」。如要進一步瞭解這些設定,請參閱「管理應用程式目標對象」。

  3. 按一下「建立 OAuth2 用戶端」,在專案中建立 OAuth2 用戶端,或按照操作說明建立「桌面」OAuth2 用戶端。如果您已有要用於 Data Manager API 的電腦版 OAuth2 用戶端,可以略過這個步驟。

    如果按一下「建立 OAuth2 用戶端」,系統會提示「設定 OAuth 用戶端」,請選取「桌面應用程式」,以便在後續步驟中使用該用戶端。

    建立 OAuth2 用戶端

    在最後一個步驟中,按一下「下載用戶端設定」,並記下您選擇的下載位置。

  4. 執行下列指令,產生本機 ADC 檔案。這項指令會啟動網路流程,提示您登入搭配 API 使用的 Google 帳戶。

    PATH_TO_CLIENT_JSON 替換成您下載的 JSON 檔案名稱。

    gcloud auth application-default login \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/cloud-platform" \
  --client-id-file="PATH_TO_CLIENT_JSON"

    如要使用相同的憑證存取 Data Manager API 和 Google Ads API,請在 --scopes 清單中加入 Google Ads API 範圍:

    gcloud auth application-default login \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/adwords,https://www.googleapis.com/auth/cloud-platform" \
  --client-id-file="PATH_TO_CLIENT_JSON"

    如要使用相同的憑證存取 Data Manager API 和 Display & Video 360 API,請在 --scopes 清單中加入 Display & Video 360 API 範圍:

    gcloud auth application-default login \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/display-video,https://www.googleapis.com/auth/cloud-platform" \
  --client-id-file="PATH_TO_CLIENT_JSON"

  5. 使用下列指令確認憑證設定正確無誤。 如果執行成功,指令會將存取權杖列印至控制台。

    gcloud auth application-default print-access-token

服務帳戶

如要使用服務帳戶模擬進行驗證,請按照下列步驟操作。這些步驟會使用模擬功能,而非服務帳戶金鑰,因為如果未妥善管理服務帳戶金鑰,可能會產生安全性風險

  1. 按一下下方的「建立服務帳戶」按鈕,或按照操作說明選取或建立服務帳戶。

    建立服務帳戶

  2. 將「服務使用情形消費者」IAM 角色 (roles/serviceusage.serviceUsageConsumer) 授予服務帳戶,其中包含 serviceusage.services.use 權限,可讓服務帳戶傳送專案的 API 要求。

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:SERVICE_ACCOUNT_EMAIL" \
  --role="roles/serviceusage.serviceUsageConsumer"

  3. 將服務帳戶的「服務帳戶權杖建立者」IAM 角色 (roles/iam.serviceAccountTokenCreator) 授予 Google 帳戶。

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
  --member="user:USER_EMAIL" \
  --role="roles/iam.serviceAccountTokenCreator"

  4. 執行下列指令來設定 ADC:

    gcloud auth application-default login \
  --impersonate-service-account=SERVICE_ACCOUNT_EMAIL \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/cloud-platform"

    如要使用相同的憑證存取 Data Manager API 和 Google Ads API,請在 --scopes 清單中加入 Google Ads API 範圍:

    gcloud auth application-default login \
  --impersonate-service-account=SERVICE_ACCOUNT_EMAIL \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/adwords,https://www.googleapis.com/auth/cloud-platform"

    如要使用相同的憑證存取 Data Manager API 和 Display & Video 360 API,請在 --scopes 清單中加入 Display & Video 360 API 範圍:

    gcloud auth application-default login \
  --impersonate-service-account=SERVICE_ACCOUNT_EMAIL \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/display-video,https://www.googleapis.com/auth/cloud-platform"

    系統提示登入時,請使用具備「服務帳戶符記建立者」角色的 Google 帳戶登入。

  5. 使用下列指令確認憑證設定正確無誤。如果成功,指令會在控制台中列印存取權杖。

    gcloud auth application-default print-access-token --scopes="https://www.googleapis.com/auth/datamanager"

如要進一步瞭解應用程式的驗證和憑證,請參閱「Google 的驗證方式」和「應用程式預設憑證的運作方式」。

設定帳戶存取權

使用者帳戶

Destination 存取權授予與使用者相關聯的電子郵件地址。

  • 如果使用 Google Ads 帳戶,請按照操作說明,將使用者的電子郵件地址新增至 Google Ads 帳戶或上層 Google Ads 管理員帳戶。
  • 如果使用 Display & Video 360 帳戶,請按照操作說明將使用者的電子郵件地址新增至帳戶。
  • 如果使用 Google Analytics 資源,請按照操作說明將使用者的電子郵件地址新增至帳戶。
  • 如果使用透過廣告主帳戶合作夥伴連結存取 Destination 的資料合作夥伴帳戶,請按照操作說明將使用者電子郵件地址新增至資料合作夥伴帳戶。

服務帳戶

授予與服務帳戶相關聯的電子郵件地址 Destination 的存取權。

  • 如果使用 Google Ads 帳戶,請完成帳戶存取權設定,將服務帳戶新增至 Google Ads 帳戶或上層 Google Ads 管理員帳戶。
  • 如果使用 Display & Video 360 帳戶,請按照操作說明建立與服務帳戶相關聯的 Display & Video 360 使用者。
  • 如果使用 Google Analytics 資源,請按照操作說明將使用者的電子郵件地址新增至帳戶。
  • 如果使用資料合作夥伴帳戶透過廣告主帳戶的合作夥伴連結存取 Destination,請在資料合作夥伴帳戶中完成帳戶存取權設定,新增服務帳戶並設定存取層級。

後續步驟

安裝用戶端程式庫並執行程式碼範例,嘗試發出第一筆 Data Manager API 要求。

下一頁
安裝用戶端程式庫