Zugriffssteuerung mit IAM

Cloud Composer 1 | Cloud Composer 2

Auf dieser Seite werden die Optionen zur Zugriffssteuerung beschrieben, die in Cloud Composer zur Verfügung stehen. Außerdem wird erläutert, wie Sie Rollen zuweisen.

Übersicht

Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die Berechtigungen für die Airflow-Weboberfläche über die Aktivierung oder Deaktivierung des Zugriffs hinaus steuern. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung mit Airflow.

Informationen zu Identity and Access Managemen in Cloud Composer

Cloud Composer verwendet die Identitäts- und Zugriffsverwaltung (IAM) zur Zugriffssteuerung.

Um den Zugriff auf verschiedene Cloud Composer-Features zu steuern, weisen Sie Rollen und Berechtigungen sowohl für IAM-Dienstkonten als auch für Nutzerkonten in Ihrem Google Cloud-Projekt zu.

Cloud Composer verwendet zwei Arten von IAM-Dienstkonten:

Informationen zum Cloud Composer-Dienst-Agent-Konto

In Ihrem Projekt verwendet der Cloud Composer-Dienst ein spezielles, von Google verwaltetes Dienstkonto, um Ressourcen zu verwalten, die sich auf Cloud Composer beziehen. Dieses Konto heißt Cloud Composer-Dienst-Agent.

Cloud Composer-Dienst-Agent wird für alle Umgebungen in Ihrem Projekt verwendet.

Informationen zu Dienstkonten für Cloud Composer-Umgebungen

Wenn Sie eine Umgebung erstellen, geben Sie ein Dienstkonto an. Der Cluster Ihrer Umgebung verwendet dieses Dienstkonto, um Pods mit verschiedenen Umgebungskomponenten wie Airflow-Workern und -Planern auszuführen.

Standardmäßig werden Cloud Composer-Umgebungen mit dem Compute Engine-Standarddienstkonto ausgeführt. Dieses von Google verwaltete Dienstkonto hat mehr Berechtigungen als zum Ausführen von Cloud Composer-Umgebungen erforderlich, normalerweise die einfache Rolle Bearbeiter.

Wir empfehlen, ein nutzerverwaltetes Dienstkonto für Cloud Composer-Umgebungen einzurichten. Weisen Sie diesem Konto eine Rolle zu, die für Cloud Composer spezifisch ist. Geben Sie dieses Dienstkonto anschließend beim Erstellen neuer Umgebungen an.

Informationen zu Rollen für Cloud Composer-Nutzer

Um einen Umgebungsvorgang auszulösen, muss ein Nutzer ausreichende Berechtigungen haben. Wenn Sie beispielsweise eine neue Umgebung erstellen möchten, benötigen Sie die Berechtigung composer.environments.create.

Bei Cloud Composer werden einzelne Berechtigungen in Rollen gruppiert. Sie können diese Rollen Hauptkonten zuweisen.

Wenn Ihr Dienstkonto die Rolle Projektbearbeiter hat, können Sie alle Umgebungsvorgänge ausführen. Diese Rolle hat jedoch umfassende Berechtigungen. Für Nutzer, die mit Umgebungen arbeiten, empfehlen wir die Verwendung von Cloud Composer-spezifischen Rollen. Auf diese Weise können Sie den Umfang der Berechtigungen einschränken und für unterschiedliche Hauptkonten unterschiedliche Zugriffsebenen bereitstellen. Beispielsweise kann ein Nutzer Berechtigungen zum Erstellen, Updaten, Upgraden und Löschen von Umgebungen haben, während ein anderer Nutzer nur Umgebungen ansehen und auf die Airflow-Weboberfläche zugreifen kann.

Dem Cloud Composer-Dienst-Agent-Konto Rollen zuweisen

Wenn Sie die Cloud Composer API in Ihrem Projekt aktivieren, wird in Ihrem Projekt das Konto Composer-Dienst-Agent erstellt. Cloud Composer verwendet dieses Konto, um Vorgänge in Ihrem Google Cloud-Projekt auszuführen.

Standardmäßig hat das Composer-Dienst-Agent-Konto die Rolle Cloud Composer API-Dienst-Agent.

Rollen einem nutzerverwalteten Dienstkonto zuweisen

Nutzerverwaltetes Dienstkonto, das Cloud Composer-Umgebungen ausführt:

  • Weisen Sie für eine öffentliche IP-Konfiguration die Rolle Composer-Worker (composer.worker) zu.
  • Private IP-Konfiguration:
    1. Weisen Sie die Rolle Komponist (composer.worker) zu.
    2. Weisen Sie die Rolle Dienstkontonutzer (iam.serviceAccountUser) zu.

Nutzern Rollen zuweisen

Abhängig von der Zugriffsebene, die Sie für Cloud Composer-Umgebungen bereitstellen möchten, gewähren Sie Hauptkonten folgende Berechtigungen.

Umgebungen und Umgebungs-Buckets verwalten

Ein Nutzer, der Umgebungen aufrufen, erstellen, aktualisieren, aktualisieren und löschen, Objekte (z. B. DAG-Dateien) in den Umgebungs-Buckets verwalten, auf die Airflow-Weboberfläche zugreifen, DAGs über die DAG-UI aufrufen und auslösen kann:

  1. Weisen Sie die Rolle Administrator für Umgebung und Storage-Objekte (composer.environmentAndStorageObjectAdmin) zu.
  2. Weisen Sie die Rolle Dienstkontonutzer (iam.serviceAccountUser) zu.

Umgebungen verwalten

Nutzer, die Umgebungen ansehen, erstellen, aktualisieren, upgraden und löschen können, können auf die Airflow-Weboberfläche zugreifen und DAGs über die DAG-UI aufrufen und auslösen:

  1. Weisen Sie die Rolle Composer-Administrator (composer.admin) zu.
  2. Weisen Sie die Rolle Dienstkontonutzer (iam.serviceAccountUser) zu.

Umgebungen ansehen und Umgebungs-Buckets verwalten

Ein Nutzer, der Umgebungen aufrufen kann, auf die Airflow-Weboberfläche zugreifen, DAGs über die DAG-UI aufrufen und auslösen und Objekte in den Umgebungs-Buckets verwalten (z. B. neue DAG-Dateien hochladen):

  1. Weisen Sie die Rolle Umgebungsnutzer und Betrachter von Storage-Objekten (composer.environmentAndStorageObjectViewer) zu.
  2. Weisen Sie die Rolle Storage-Objekt-Administrator (storage.objectAdmin) zu.

Umgebungen und Umgebungs-Buckets ansehen

Nutzern, die Umgebungen ansehen können, auf die Airflow-Weboberfläche zugreifen, DAGs über die DAG-UI aufrufen und auslösen und Objekte in Umgebungs-Buckets ansehen, die Rolle Umgebungsnutzer und Speicherobjektbetrachter (composer.environmentAndStorageObjectViewer) zuweisen.

Umgebungen ansehen

Nutzern, die Umgebungen ansehen, DAGs über die DAG-UI aufrufen und aufrufen und auf die Airflow-Weboberfläche zugreifen können, weisen Sie die Rolle Composer-Nutzer (composer.user) zu.

Berechtigungen zur Verwendung von gcloud mit Umgebungen zuweisen

Zur Verwendung von gcloud mit Cloud Composer-Umgebungen benötigen Sie folgende Berechtigungen:

  • composer.environments.get
  • container.clusters.get
  • container.clusters.list
  • container.clusters.getCredentials

Wenn Sie Umgebungen oder Umgebungs-Buckets mit gcloud composer-Befehlen verwalten möchten, benötigen Sie außerdem eine Rolle mit ausreichenden Berechtigungen.

Wenn Sie Airflow-Befehlszeilenbefehle ausführen möchten, benötigen Sie die folgenden zusätzlichen Berechtigungen:

  • container.namespaces.list
  • container.pods.exec
  • container.pods.get
  • container.pods.list

Rollen

Role Permissions

Cloud Composer v2 API Service Agent Extension
(roles/composer.ServiceAgentV2Ext)

Cloud Composer v2 API Service Agent Extension is a supplementary role required to manage Composer v2 environments.

  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy

Composer Administrator
(roles/composer.admin)

Provides full control of Cloud Composer resources.

Lowest-level resources where you can grant this role:

  • Project
  • composer.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Environment and Storage Object Administrator
(roles/composer.environmentAndStorageObjectAdmin)

Provides full control of Cloud Composer resources and of the objects in all project buckets.

Lowest-level resources where you can grant this role:

  • Project
  • composer.*
  • orgpolicy.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.multipartUploads.*
  • storage.objects.*

Environment User and Storage Object Viewer
(roles/composer.environmentAndStorageObjectViewer)

Provides the permissions necessary to list and get Cloud Composer environments and operations. Provides read-only access to objects in all project buckets.

Lowest-level resources where you can grant this role:

  • Project
  • composer.dags.*
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list

Composer Shared VPC Agent
(roles/composer.sharedVpcAgent)

Role that should be assigned to Composer Agent service account in Shared VPC host project

  • compute.networks.access
  • compute.networks.addPeering
  • compute.networks.get
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.removePeering
  • compute.networks.updatePeering
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zones.*

Composer User
(roles/composer.user)

Provides the permissions necessary to list and get Cloud Composer environments and operations.

Lowest-level resources where you can grant this role:

  • Project
  • composer.dags.*
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Composer Worker
(roles/composer.worker)

Provides the permissions necessary to run a Cloud Composer environment VM. Intended for service accounts.

Lowest-level resources where you can grant this role:

  • Project
  • artifactregistry.*
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • cloudbuild.workerpools.use
  • composer.environments.get
  • container.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • logging.logEntries.list
  • logging.privateLogEntries.*
  • logging.views.access
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.*
  • orgpolicy.policy.get
  • pubsub.schemas.attach
  • pubsub.schemas.create
  • pubsub.schemas.delete
  • pubsub.schemas.get
  • pubsub.schemas.list
  • pubsub.schemas.validate
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.multipartUploads.*
  • storage.objects.*

Rollen für Dienst-Agents

roles/composer.serviceAgent Cloud Composer API-Dienst-Agent

Der Cloud Composer API-Dienst-Agent kann Umgebungen verwalten.

  • appengine.applications.get
  • appengine.applications.update
  • appengine.instances.*
  • appengine.operations.*
  • appengine.runtimes.*
  • appengine.services.*
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • artifactregistry.repositories.create
  • artifactregistry.repositories.delete
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.update
  • cloudnotifications.*
  • cloudsql.*
  • compute.acceleratorTypes.*
  • compute.addresses.*
  • compute.autoscalers.*
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.diskTypes.*
  • compute.disks.*
  • compute.externalVpnGateways.*
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.use
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.globalNetworkEndpointGroups.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.delete
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.globalPublicDelegatedPrefixes.update
  • compute.globalPublicDelegatedPrefixes.updatePolicy
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.images.*
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.interconnectAttachments.*
  • compute.interconnectLocations.*
  • compute.interconnects.*
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.machineImages.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.*
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.publicDelegatedPrefixes.delete
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.publicDelegatedPrefixes.update
  • compute.publicDelegatedPrefixes.updatePolicy
  • compute.regionBackendServices.*
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.list
  • compute.regionFirewallPolicies.use
  • compute.regionHealthCheckServices.*
  • compute.regionHealthChecks.*
  • compute.regionNetworkEndpointGroups.*
  • compute.regionNotificationEndpoints.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.*
  • compute.regionTargetHttpsProxies.*
  • compute.regionUrlMaps.*
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.*
  • compute.routers.*
  • compute.routes.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.serviceAttachments.*
  • compute.snapshots.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.*
  • compute.subnetworks.*
  • compute.targetGrpcProxies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.targetVpnGateways.*
  • compute.urlMaps.*
  • compute.vpnGateways.*
  • compute.vpnTunnels.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • container.*
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.deployments.cancelPreview
  • deploymentmanager.deployments.create
  • deploymentmanager.deployments.delete
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.deployments.stop
  • deploymentmanager.deployments.update
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • firebase.projects.get
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • logging.buckets.create
  • logging.buckets.delete
  • logging.buckets.get
  • logging.buckets.list
  • logging.buckets.undelete
  • logging.buckets.update
  • logging.cmekSettings.*
  • logging.exclusions.*
  • logging.locations.*
  • logging.logEntries.create
  • logging.logMetrics.*
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.notificationRules.*
  • logging.operations.*
  • logging.sinks.*
  • logging.views.create
  • logging.views.delete
  • logging.views.get
  • logging.views.list
  • logging.views.update
  • monitoring.alertPolicies.get
  • monitoring.alertPolicies.list
  • monitoring.dashboards.get
  • monitoring.dashboards.list
  • monitoring.groups.get
  • monitoring.groups.list
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.notificationChannelDescriptors.*
  • monitoring.notificationChannels.get
  • monitoring.notificationChannels.list
  • monitoring.publicWidgets.get
  • monitoring.publicWidgets.list
  • monitoring.services.get
  • monitoring.services.list
  • monitoring.slos.get
  • monitoring.slos.list
  • monitoring.timeSeries.*
  • monitoring.uptimeCheckConfigs.get
  • monitoring.uptimeCheckConfigs.list
  • networkconnectivity.locations.*
  • networkconnectivity.operations.*
  • networksecurity.*
  • networkservices.*
  • opsconfigmonitoring.resourceMetadata.list
  • orgpolicy.policy.get
  • pubsub.*
  • recommender.cloudsqlIdleInstanceRecommendations.*
  • recommender.cloudsqlInstanceActivityInsights.*
  • recommender.cloudsqlInstanceCpuUsageInsights.*
  • recommender.cloudsqlInstanceDiskUsageTrendInsights.*
  • recommender.cloudsqlInstanceMemoryUsageInsights.*
  • recommender.cloudsqlInstanceOutOfDiskRecommendations.*
  • recommender.cloudsqlOverprovisionedInstanceRecommendations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicedirectory.namespaces.create
  • servicedirectory.namespaces.delete
  • servicedirectory.services.create
  • servicedirectory.services.delete
  • servicenetworking.operations.get
  • servicenetworking.services.addPeering
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • stackdriver.projects.get
  • storage.buckets.*
  • storage.multipartUploads.*
  • storage.objects.*
  • trafficdirector.*

Einfache Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/owner Inhaber Einfache Rolle, die die vollständige Kontrolle über Cloud Composer-Ressourcen ermöglicht. Composer.environments.create
Composer.environments.delete
Compose.environments.get
Composer.environments.list
Composer.environments.update
Composer.imageversions.list
Composer.Operationsdelete.
Composer.Operation.get
Composer.Operation.list
Composer.dags.da.as
Projekt
roles/editor Editor Einfache Rolle, die die vollständige Kontrolle über Cloud Composer-Ressourcen ermöglicht. Composer.environments.create
Composer.environments.delete
Compose.environments.get
Composer.environments.list
Composer.environments.update
Composer.imageversions.list
Composer.Operationsdelete.
Composer.Operation.get
Composer.Operation.list
Composer.dags.da.as
Projekt
roles/viewer Betrachter Einfache Rolle, mit der Nutzer Cloud Composer-Ressourcen auflisten und abrufen können. Composer.environments.get
Composer.environments.list
Compose.imageversions.list
Composer.Operation.get
Composer.Operation.list
Composer.dags.list
Composer.dags.get
Projekt

Berechtigungen für API-Methoden

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer aufrufen muss, um die einzelnen API-Methoden in der Cloud Composer API aufzurufen oder mit Google Cloud-Tools, die die API verwenden, Aufgaben auszuführen (z. B. die Google Cloud Console oder die Google Cloud CLI).

Methode Berechtigung
environments.create composer.environments.create und iam.serviceAccounts.actAs für das Dienstkonto der Umgebung.
environments.delete composer.environments.delete
environments.get composer.environments.get
environments.list composer.environments.list
environments.update composer.environments.update
operations.delete composer.operations.delete
operations.get composer.operations.get
operations.list composer.operations.list

Berechtigungen für das Arbeiten mit DAGs über die Google Cloud Console

Die folgenden Berechtigungen gelten für die Zusammenarbeit mit DAGs über die Google Cloud Console über die DAG-UI:

Berechtigung Beschreibung
composer.dags.list Rufen Sie die Liste der DAGs auf der Seite der Umgebungsdetails auf.
composer.dags.get Detaillierte Informationen zu DAGs, DAG-Ausführungen und Aufgaben auf der DAG-Detailseite abrufen.
composer.dags.execute Lösen Sie DAGs über die DAG-Detailseite aus.

Sie können Airflow RBAC-Berechtigungen verwenden, um die Berechtigungen für Nutzerkonten weiter zu steuern. Für eine DAG-UI sind sowohl IAM- als auch Airflow-RBAC-Berechtigungen erforderlich, um eine bestimmte Aktion zuzulassen. Gleichzeitig validiert die Airflow-UI den Nutzerzugriff nur auf Airflow-RBAC-Berechtigungen. IAM-Berechtigungen werden übersprungen.

Wenn ein Nutzer beispielsweise die Berechtigung composer.dags.execute und die Rolle Viewer Airflow-RBAC hat, kann er DAGs über die Google Cloud Console nicht auslösen. Umgekehrt sieht der Nutzer weiterhin die Liste der DAGs in der Airflow-UI, wenn er nicht die Berechtigung composer.dags.list hat.

Dienstkonto aus einem anderen Projekt verwenden

Wenn Sie möchten, dass eine Cloud Composer-Umgebung in einem Projekt ein nutzerverwaltetes Dienstkonto aus einem anderen Projekt verwendet, müssen Sie das nutzerverwaltete Dienstkonto projektübergreifend konfigurieren.

Ersetzen Sie SERVICE_PROJECT_NUMBER durch die Projektnummer eines Projekts, in dem sich Ihre Cloud Composer befindet.

  1. Bearbeiten Sie die Richtlinie allow des Projekts, in dem sich Ihr vom Nutzer verwaltetes Dienstkonto befindet:

    1. Weisen Sie dem Compute Engine-Standarddienstkonto des Projekts, in dem sich Ihre Umgebung befindet (SERVICE_PROJECT_NUMBER-compute@developer.gserviceaccount.com), die Rolle Dienstkonto-Ersteller zu.

    2. Gewähren Sie dem Cloud Composer-Dienst-Agent des Projekts, in dem sich Ihre Umgebung befindet (service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com), die Rolle Dienstkonto-Ersteller.

  2. Bearbeiten Sie die Richtlinie zum Zulassen des Projekts, in dem sich Ihre Umgebung befindet. Weisen Sie Ihrem nutzerverwalteten Dienstkonto die erforderlichen Rollen zu, wie unter Von Nutzern verwaltete Dienstkonten zuweisen beschrieben. Bei einer öffentlichen IP-Konfiguration benötigt Ihr von Nutzern verwaltetes Dienstkonto beispielsweise die Rolle Composer-Worker.

Weitere Informationen