设置 API 访问权限

本文介绍了如何使用 SDK 或 REST 设置对 Data Manager API 的访问权限。

前提条件

如需使用 Data API,请确保您具备以下条件:

  1. 具有一个 Google Cloud 项目。 您可以使用现有项目,也可以专门为 Data Manager API 创建一个新项目。

  2. 拥有一个 Google 账号,该账号对您的 Google 云项目具有 serviceusage.services.enable 权限,或者具有包含该权限的角色。例如,roles/ownerroles/serviceusage.serviceUsageAdmin 都包含 serviceusage.services.enable 权限。如需查看您的权限,请参阅 查看当前 访问权限

  3. 已安装 Google Cloud CLI

启用 API

如果您尚未启用 Data Manager API,请点击启用 Data Manager API 来启用,或者按照 说明手动执行此 步骤。

启用 Data Manager API

如果您找不到 Data Manager API 或 启用 Data Manager API 失败,请验证 您的 Google 账号是否满足 前提条件

设置身份验证

除了 API 密钥之外,您还可以使用 Google 提供的任何 身份验证方法我们 建议您查看如何为您的使用 场景选择合适的身份验证方法,以确定哪种 方法适合您的使用场景。

两种常见的身份验证方法是用户账号服务账号

  • 用户账号:代表直接与 Google API 和 服务交互的人员。
  • 服务账号:代表应用(而非人员)作为用户。它们可让您的应用管理身份验证和授权。例如,如果应用需要访问 Google Cloud 资源。

您的集成可以使用 应用默认凭证 (ADC) 从环境中自动查找凭据,因此您无需更改客户端代码即可进行身份验证。

选择用户账号服务账号 来设置 ADC:

用户账号

以下是使用用户账号 凭据进行身份验证的步骤:

  1. 为您的项目配置 Google Auth Platform 设置。

    1. 在 Google Cloud 控制台 中打开 “品牌”页面

    2. 选择您的项目。

    3. 填写表单,然后点击创建

  2. 由于 Data Manager API 范围属于敏感范围,因此需要执行以下 步骤:

    1. 前往项目的“数据访问权限”设置。

    2. 点击添加或移除范围

    3. 在范围列表中,选中 Data Manager API 旁边的复选框,然后点击更新

    4. 点击保存

    5. 前往 Google Cloud Console 中的“受众群体”,然后更新“发布状态”“用户类型”。如需详细了解这些设置,请参阅 管理应用受众群体

  3. 点击创建 OAuth2 客户端 ,在项目中创建 OAuth2 客户端,或者按照 说明 创建 Desktop OAuth2 客户端。如果您已有要用于 Data Manager API 的 Desktop OAuth2 客户端,则可以跳过此步骤。

    如果您点击创建 OAuth2 客户端,请在系统提示配置 OAuth 客户端时选择Desktop 应用,以便您可以在剩余步骤中使用该客户端。

    创建 OAuth2 客户端

    在最后一步中,点击下载客户端配置 ,并记下您选择的下载位置。

  4. 通过运行以下命令生成本地 ADC 文件。此命令会启动一个 Web 流程,系统会提示您登录您用于 API 的 Google 账号。

    PATH_TO_CLIENT_JSON 替换为您下载的 JSON 文件的名称。

    gcloud auth application-default login \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/cloud-platform" \
  --client-id-file="PATH_TO_CLIENT_JSON"

    如果您想对 Data Manager API 和 Google Ads API使用相同的凭据,请在 --scopes列表中添加 Google Ads API 范围:

    gcloud auth application-default login \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/adwords,https://www.googleapis.com/auth/cloud-platform" \
  --client-id-file="PATH_TO_CLIENT_JSON"

    如果您想对 Data Manager API 和 Display & Video 360 API使用相同的凭据,请在 --scopes列表中添加 Display & Video 360 API 范围:

    gcloud auth application-default login \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/display-video,https://www.googleapis.com/auth/cloud-platform" \
  --client-id-file="PATH_TO_CLIENT_JSON"

  5. 使用以下命令确认凭据设置正确无误。 如果成功,该命令会将访问令牌输出到控制台。

    gcloud auth application-default print-access-token

服务账号

以下是使用服务账号模拟进行身份验证的步骤。这些步骤 使用模拟而非服务账号密钥,因为服务账号 密钥如果管理 不当,可能会带来安全风险

  1. 点击以下创建服务账号 按钮,或按照 说明选择或创建服务账号。

    创建服务账号

  2. 向服务账号授予 Service Usage Consumer IAM 角色 (roles/serviceusage.serviceUsageConsumer),该角色包含 serviceusage.services.use 权限,允许 服务账号为项目发送 API 请求。

    gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="serviceAccount:SERVICE_ACCOUNT_EMAIL" \
  --role="roles/serviceusage.serviceUsageConsumer"

  3. 向您的 Google 账号授予服务账号的 Service Account Token Creator IAM 角色 (roles/iam.serviceAccountTokenCreator)。

    gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
  --member="user:USER_EMAIL" \
  --role="roles/iam.serviceAccountTokenCreator"

  4. 通过运行以下命令配置 ADC:

    gcloud auth application-default login \
  --impersonate-service-account=SERVICE_ACCOUNT_EMAIL \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/cloud-platform"

    如果您想对 Data Manager API 和 Google Ads API使用相同的凭据,请在 --scopes列表中添加 Google Ads API 范围:

    gcloud auth application-default login \
  --impersonate-service-account=SERVICE_ACCOUNT_EMAIL \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/adwords,https://www.googleapis.com/auth/cloud-platform"

    如果您想对 Data Manager API 和 Display & Video 360 API使用相同的凭据,请在 --scopes列表中添加 Display & Video 360 API 范围:

    gcloud auth application-default login \
  --impersonate-service-account=SERVICE_ACCOUNT_EMAIL \
  --scopes="https://www.googleapis.com/auth/datamanager,https://www.googleapis.com/auth/display-video,https://www.googleapis.com/auth/cloud-platform"

    系统提示您登录时,请以具有 Service Account Token Creator 角色的 Google 账号登录。

  5. 使用以下命令确认凭据设置正确无误。如果成功,该命令会将访问令牌输出到控制台。

    gcloud auth application-default print-access-token --scopes="https://www.googleapis.com/auth/datamanager"

如需详细了解应用的身份验证和凭据,请参阅 Google 提供的身份验证方法应用默认凭证 的工作原理

设置账号访问权限

用户账号

选择与您的使用场景对应的标签页。

  • 如果您要使用 Google 账号的凭据,而该账号是您要管理的广告客户账号中的用户,请选择广告客户
  • 如果您要使用 Google 账号的凭据,而该账号是数据合作伙伴账号中的用户,并且您要管理与该数据合作伙伴账号具有合作伙伴关联的广告客户账号,请选择数据合作伙伴

广告客户

向与用户关联的电子邮件地址授予对 Destination的访问权限。

按照说明 将用户的电子邮件地址添加到 Google Ads 账号或父级 Google Ads 经理账号。

Display &Video 360

按照说明 将用户的电子邮件地址添加到账号。

Google Analytics

按照说明 将用户的电子邮件地址添加到账号。

数据合作伙伴

向与用户关联的电子邮件地址授予对您的数据合作伙伴账号 的访问权限。通常,数据合作伙伴使用服务账号进行 API 访问。 但是,如果您使用用户账号进行测试或其他用途,则必须向您的用户账号授予对数据合作伙伴账号的访问权限。

按照这些说明,通过 Google Ads 界面将用户的电子邮件地址添加到数据合作伙伴账号。

服务账号

选择与您的使用场景对应的标签页。

  • 如果您要使用 Google 账号的凭据,而该账号是您要管理的广告客户账号中的用户,请选择广告客户
  • 如果您要使用 Google 账号的凭据,而该账号是数据合作伙伴账号中的用户,并且您要管理与该数据合作伙伴账号具有合作伙伴关联的广告客户账号,请选择数据合作伙伴

广告客户

向与您的服务账号关联的电子邮件地址授予对 Destination的访问权限。

完成账号访问权限设置 将服务账号添加到 Google Ads 账号或父级 Google Ads 经理账号。

Display &Video 360

按照说明 创建与服务 账号关联的 Display & Video 360 用户。

Google Analytics

按照说明 将服务账号的电子邮件地址添加到账号。

数据合作伙伴

向与您的服务账号关联的电子邮件地址授予对数据合作伙伴账号 的访问权限。

数据合作伙伴账号访问权限通过 Google Ads 界面进行管理。如需添加 服务账号并设置其访问权限级别,请按照 账号访问权限设置中的步骤操作。

后续步骤

安装客户端库并运行 代码示例,尝试您的第一个 Data Manager API 请求。

下一页
安装客户端库