googlecloudapi（Vision、自然语言、翻译等）不需要任何特殊权限，您只需在项目中启用它们（转到控制台中的API Library选项卡），并创建API密钥或服务帐户来访问它们。在

考虑到Service Accounts are the recommended approach for authentication with Google Cloud Platform services，从API密钥转移到服务帐户的决定是正确的，出于安全原因，Google建议使用它们而不是API密钥。在

也就是说，我看到你使用的是旧的Python API Client Libraries，它利用了GoogleAppClient.discovery.build你提到的服务。到目前为止，推荐使用更新的idiomatic Client Libraries方法，它们取代了您正在使用的旧API客户端库，因此我强烈建议您朝这个方向发展。它们更易于使用，更易于理解，有更好的文档记录，并且是the recommended approach to access Cloud APIs programatically。在

以此为出发点，我将把这个答案分成两部分：

使用客户端库

如果您决定遵循我的建议并迁移到新的客户端库，那么身份验证对您来说非常简单，因为客户端库使用应用程序默认凭据（ADC）进行身份验证。ADC使用计算引擎的默认服务帐户来提供身份验证，因此您根本不必担心它，因为它在默认情况下可以工作。在

一旦这一部分被弄清楚，您就可以继续创建一个示例代码（例如documentation中可用的代码），一旦您测试了所有代码都按预期工作，就可以转到完整的Vision API Client Library reference page以获取有关库如何工作的信息。在

使用（传统）API客户端库 尽管我说过，如果您想坚持使用旧的API客户机库，那么您可能会对另一个文档页面感兴趣，其中有关于Authentication using the API Client Libraries的一些完整信息。更具体地说，有整整一章专门解释OAuth 2.0 authentication using Service Accounts。在

使用下面这样的简单代码，您可以使用the ^{} module从首选SA的JSON密钥文件加载凭据，指定所需的作用域，并通过指定credentials=credentials在构建Vision客户端时使用它：

from google.oauth2 import service_account
import googleapiclient.discovery

SCOPES = ['https://www.googleapis.com/auth/cloud-vision']
SERVICE_ACCOUNT_FILE = '/path/to/SA_key.json'

credentials = service_account.Credentials.from_service_account_file(
        SERVICE_ACCOUNT_FILE, scopes=SCOPES)

vision = googleapiclient.discovery.build('vision', 'v1', credentials=credentials)

编辑：

我忘了加上，为了让计算引擎实例能够与googleapi一起工作，它必须被授予https://www.googleapis.com/auth/cloud-platform范围（事实上，这与选择允许对所有云api的完全访问相同）。这是在GCE Service Accounts best practices中记录的，但是this would allow full access to all resources and services in the project是对的。在

或者，如果您担心允许“access all”作用域的含义，在this other documentation page中解释了您可以允许完全访问，然后通过IAM角色执行限制访问。在

在任何情况下，如果只想将Vision作用域授予实例，可以通过运行以下gcloud命令来实现：