AppS 脚本 oauth 范围和链接的 gcp 项目范围之间有什么关系?

What is the relationship between AppScript oauth scopes and linked gcp project's scopes?

我有一个关于 gcp 的问题。也许我错过了文档中的一些细节,如果是这样的话 - 抱歉)所以,我有 appscript,我想将它的日志流式传输到 GCP,所以我创建了 GCP 项目并将项目编号设置为 appscript。

它工作正常,但这是令人困惑的部分 - appscript 具有脚本执行所需的 oauth 范围列表,并且 oauth 范围也可以设置为链接的 GCP 项目。

A​​ppScript 属性: GCP 项目属性:

那么,我的问题是 - gcp 项目中的那些 oauth 范围会影响 appscript 权限吗?根据我的理解和测试,它们是完全独立的,但我错过了文档中关于这一刻的详细解释。例如,有人可以向 gcp 项目添加一些范围,它会隐式影响 appscript 执行吗?

关于 Apps 脚本项目和 OAuth 同意屏幕范围

  • 您的 Apps 脚本项目中的范围是您的代码正常工作所需的范围
  • 您可以 set them manually 在脚本清单中或让 Apps 脚本自动确定并添加所需的范围(当您 运行 添加代码块后的函数时,系统会要求您授权它们需要额外的范围)
  • 说到其他用户可以安装使用的OAuth screen scopes in your GCP project - you only need to set them if you plan to publish your script as a public app / Addon
  • 如果您仅将 GCP 项目用于私人目的 - 例如查看日志,您无需对 OAuth 屏幕中的范围进行任何操作,可以忽略以下几点
  • 如果您确实想要 publish a public Addon - you do need to configure the OAuth consent screen,这意味着在其中添加您的脚本需要的所有范围并提交它们以供验证
  • 如果后者适用,您需要说明为什么以及如何使用每个范围,以防范围是敏感范围,并且范围是 restricted one - you will need to undergo a pricey Security assessment
  • 为避免范围验证带来不必要的麻烦/成本,请尝试使用尽可能有限的范围
  • 例如,如果 Apps 脚本自动授予脚本范围 https://www.googleapis.com/auth/drive - see if a https://www.googleapis.com/auth/drive.readonly or a https://www.googleapis.com/auth/drive.file 范围足以满足您的目的并在清单中手动更改它