Можно ли включить использование портала конечных точек Google Cloud без предоставления дополнительных разрешений для доступа к проектам GCP на стороне клиента?

Question

Я успешно развернул портал разработчика облачных конечных точек Google для моего API, работающего на конечных точках. Я хотел бы предоставить доступ к тестированию людям за пределами моей организации, которые не используют GCP в своих проектах.

Вход в портал работает правильно, если я включаю роль потребителя услуг для этих людей (для каждой электронной почты). Однако, когда они открывают его в первый раз, их просят предоставить некоторые дополнительные разрешения порталу:

Эта форма может создать совершенно ненужные проблемы безопасности. Кто-нибудь знает, зачем это нужно?

Я только хотел бы, чтобы мои клиенты могли тестировать мой API с помощью графического интерфейса пользователя, прежде чем они смогут начать подключать свои проекты (не обязательно в GCP) к моим. Мне кажется, это правильный вариант использования, однако я могу неправильно понять некоторые основные понятия.

Или я должен отправить запрос в Google о новой роли, которая только обеспечивает доступ к порталу, и ничего больше, поэтому такие формы не отображаются?

Answer 1

Поскольку API-интерфейсы конечных точек должны предоставляться клиентам в явном виде, порталу необходимо убедиться, что вошедший в систему пользователь имеет разрешение на просмотр этого API-интерфейса конечных точек. Таким образом, короткий ответ заключается в том, что эти области запрашиваются в первую очередь, чтобы портал мог проверять доступ пользователя к этому API.

Более длинный ответ заключается в том, что мы (команда конечных точек) изучаем, возможно ли создать более узкие области OAuth, которые бы соответствовали проверкам доступа, которые мы выполняем. Мы согласны с тем, что это неоправданно широкий запрос доступа, и надеемся улучшить его в будущем. Спасибо за ваш комментарий!