In diesem Dokument wird beschrieben, wie Sie IAM-Rollen (Identity and Access Management), Berechtigungen und Flags festlegen, um Eventarc-Ereignisse von Google Cloud und Drittanbieterquellen zu empfangen und die Ereignisse an authentifizierte oder nicht authentifizierte Cloud Run-Zieldienste zu senden.
Dieses Dokument enthält Anleitungen für folgende Aufgaben:
- Dem Nutzer bestimmte IAM-Rollen zuweisen.
- Gewähren Sie dem Dienstkonto des Triggers bestimmte Rollen und Berechtigungen. Eventarc verwendet ein vom Kunden bereitgestelltes Dienstkonto als Identität des Triggers.
- Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die Rolle
iam.serviceAccountTokenCreator
zu. - Wenn Sie die Google Cloud CLI verwenden möchten, setzen Sie das Cloud Run-Flag entsprechend, wenn Sie Container-Images oder Überarbeitungen aus einem Quell-Repository in Cloud Run bereitstellen.
Weitere Informationen zu den Optionen für die Zugriffssteuerung in Eventarc finden Sie unter Zugriffssteuerung.
Eventarc-Ereignistypen und -Rollen
Eventarc unterstützt Trigger für folgende Ereignistypen:
- Cloud-Audit-Logs: Eventarc empfängt Ereignisse aus Google Cloud-Quellen mit Cloud-Audit-Logs.
- Direkte Ereignisse: Eventarc empfängt direkte Ereignisse, z. B. ein Update auf einen Cloud Storage-Bucket, von Google Cloud-Quellen.
- Cloud Pub/Sub-Ereignisse: Eventarc empfängt Ereignisse von Drittanbieterquellen mit Pub/Sub-Benachrichtigungen.
Authentifizierte Aufrufe von Cloud Run
Gewähren Sie je nach Ereignistyp die entsprechenden IAM-Rollen, Berechtigungen und Flags für einen authentifizierten Cloud Run-Zieldienst:
Cloud-Audit-Logs
So sorgen Sie dafür, dass Sie Ereignisse aus Google Cloud-Quellen erhalten, während Sie sie an ein authentifiziertes Cloud Run-Ziel senden:
Nutzerrollen
Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin
) zu:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role='roles/eventarc.admin'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser
) zu:
gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.SERVICE_ACCOUNT_ID
: die Dienstkonto-IDPRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Trigger-Dienstkontorollen
Weisen Sie dem Dienstkonto des Triggers die Rolle "Cloud Run-Aufrufer" (roles/run.invoker
) zu.
gcloud run services add-iam-policy-binding SERVICE_NAME \ --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \ --role='roles/run.invoker'
Ersetzen Sie die folgenden Werte:
SERVICE_NAME
: Name des Dienstes, der von diesem Trigger aufgerufen werden soll.SERVICE_ACCOUNT_USER_EMAIL
: E-Mail-Adresse des Dienstkontos.
Weisen Sie dem Dienstkonto des Triggers die Rolle "Eventarc-Ereignisempfänger" (roles/eventarc.eventReceiver
) zu:
gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \ --role='roles/eventarc.eventReceiver'
Ersetzen Sie SERVICE_ACCOUNT_USER_EMAIL
durch die E-Mail-Adresse des
Dienstkontos.
Pub/Sub-Dienstkontorolle
Die Rolle "Dienstkonto-Token-Ersteller" (roles/iam.serviceAccountTokenCreator
) wird dem Pub/Sub-Dienstkonto standardmäßig zugewiesen.
Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.
export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')" gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \ --role='roles/iam.serviceAccountTokenCreator'
Cloud Run-Flag
Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am authentifizierten Cloud Run-Ziel bereit:
gcloud run deploy SERVICE_ACCOUNT_ID \ --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME
Ersetzen Sie die folgenden Werte:
SERVICE_ACCOUNT_ID
: die Dienstkonto-IDSERVICE_NAME
: der Name des Cloud Run-Dienstes.
Direkte Ereignisse
So sorgen Sie dafür, dass Ereignisse direkt von der Quelle empfangen werden, z. B. die Aktualisierung eines Cloud Storage-Buckets, während an ein authentifiziertes Cloud Run-Ziel gesendet wird:
Nutzerrollen
Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin
) zu:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role='roles/eventarc.admin'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser
) zu:
gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.SERVICE_ACCOUNT_ID
: die Dienstkonto-ID.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Cloud Storage-Dienstkontorolle
Wenn Sie einen Trigger für ein direktes Ereignis aus Cloud Storage erstellen, weisen Sie dem Cloud Storage-Dienstkonto die Pub/Sub-Publisher-Rolle (roles/pubsub.publisher
) zu:
SERVICE_ACCOUNT="$(gsutil kms serviceaccount -p PROJECT_ID)" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:${SERVICE_ACCOUNT}" --role='roles/pubsub.publisher'
Ersetzen Sie PROJECT_ID
durch die Google Cloud-Projekt-ID.
Trigger-Dienstkontorollen
Weisen Sie dem Dienstkonto des Triggers die Rolle "Cloud Run-Aufrufer" (roles/run.invoker
) zu.
gcloud run services add-iam-policy-binding SERVICE_NAME \ --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \ --role='roles/run.invoker'
Ersetzen Sie die folgenden Werte:
SERVICE_NAME
: Name des Dienstes, der von diesem Trigger aufgerufen werden soll.SERVICE_ACCOUNT_USER_EMAIL
: E-Mail-Adresse des Dienstkontos.
Weisen Sie dem Dienstkonto des Triggers die Rolle "Eventarc-Ereignisempfänger" (roles/eventarc.eventReceiver
) zu:
gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \ --role='roles/eventarc.eventReceiver'
Ersetzen Sie SERVICE_ACCOUNT_USER_EMAIL
durch die E-Mail-Adresse des
Dienstkontos.
Pub/Sub-Dienstkontorolle
Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator
) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.
Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.
export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')" gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \ --role='roles/iam.serviceAccountTokenCreator'
Cloud Run-Flag
Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am authentifizierten Cloud Run-Ziel bereit:
gcloud run deploy SERVICE_ACCOUNT_ID \ --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME
Ersetzen Sie die folgenden Werte:
SERVICE_ACCOUNT_ID
durch die Dienstkonto-ID.SERVICE_NAME
: Name des Cloud Run-Dienstes.
Pub/Sub-Thema
So sorgen Sie dafür, dass Sie Ereignisse aus Drittanbieterquellen erhalten, während Sie sie an ein authentifiziertes Cloud Run-Ziel senden:
Nutzerrollen
Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin
) zu:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role='roles/eventarc.admin'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser
) zu:
gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.SERVICE_ACCOUNT_ID
: die Dienstkonto-ID.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Trigger-Dienstkontorollen
Weisen Sie dem Dienstkonto des Triggers die Rolle "Cloud Run-Aufrufer" (roles/run.invoker
) zu.
gcloud run services add-iam-policy-binding SERVICE_NAME \ --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \ --role='roles/run.invoker'
Ersetzen Sie die folgenden Werte:
SERVICE_NAME
: Name des Dienstes, der von diesem Trigger aufgerufen werden soll.SERVICE_ACCOUNT_USER_EMAIL
: die E-Mail-Adresse des Dienstkontos.
Pub/Sub-Dienstkontorolle
Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator
) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.
Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.
export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')" gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \ --role='roles/iam.serviceAccountTokenCreator'
Cloud Run-Flag
Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am authentifizierten Cloud Run-Ziel bereit:
gcloud run deploy SERVICE_ACCOUNT_ID \ --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME
Ersetzen Sie die folgenden Werte:
SERVICE_ACCOUNT_ID
: die Dienstkonto-ID.SERVICE_NAME
: der Name des Cloud Run-Dienstes.
Nicht authentifizierte Aufrufe von Cloud Run
Gewähren Sie je nach Ereignistyp die entsprechenden IAM-Rollen, Berechtigungen und Flags für einen nicht authentifizierten Cloud Run-Zieldienst:
Cloud-Audit-Logs
So gewährleisten Sie, dass Sie Ereignisse von Google Cloud-Quellen erhalten, während Sie sie an ein nicht authentifiziertes Cloud Run-Ziel senden:
Nutzerrollen
Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin
) zu:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role='roles/eventarc.admin'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser
) zu:
gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.SERVICE_ACCOUNT_ID
: die Dienstkonto-ID.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Trigger-Dienstkontorollen
Weisen Sie dem Dienstkonto des Triggers die Rolle "Eventarc-Ereignisempfänger" (roles/eventarc.eventReceiver
) zu:
gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \ --role='roles/eventarc.eventReceiver'
Ersetzen Sie SERVICE_ACCOUNT_USER_EMAIL
durch die E-Mail-Adresse des
Dienstkontos.
Pub/Sub-Dienstkontorolle
Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator
) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.
Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.
export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')" gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \ --role='roles/iam.serviceAccountTokenCreator'
Cloud Run-Flag
Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am nicht authentifizierten Cloud Run-Ziel bereit:
gcloud run deploy SERVICE_ACCOUNT_ID \ --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME \ --allow-unauthenticated
Ersetzen Sie die folgenden Werte:
SERVICE_ACCOUNT_ID
: die Dienstkonto-ID.SERVICE_NAME
: der Name des Cloud Run-Dienstes.
Direkte Ereignisse
So sorgen Sie dafür, dass Ereignisse direkt von der Quelle empfangen werden, z. B. die Aktualisierung eines Cloud Storage-Buckets, während an ein nicht authentifiziertes Cloud Run-Ziel gesendet wird:
Nutzerrollen
Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin
) zu:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role='roles/eventarc.admin'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Weisen Sie dem Nutzer die Dienstkontorolle (roles/iam.serviceAccountUser
) zu:
gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \ --member=PRINCIPAL \ --role='roles/iam.serviceAccountUser'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.SERVICE_ACCOUNT_ID
: die Dienstkonto-ID.PRINCIPAL
ist das Mitglied, für das die Bindung eingefügt werden soll. Muss das Formatuser|group|serviceAccount:email
oderdomain:domain
haben.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Cloud Storage-Dienstkontorolle
Wenn Sie einen Trigger für ein direktes Ereignis aus Cloud Storage erstellen, weisen Sie dem Cloud Storage-Dienstkonto die Pub/Sub-Publisher-Rolle (roles/pubsub.publisher
) zu:
SERVICE_ACCOUNT="$(gsutil kms serviceaccount -p PROJECT_ID)" gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:${SERVICE_ACCOUNT}" --role='roles/pubsub.publisher'
Ersetzen Sie PROJECT_ID
durch die Google Cloud-Projekt-ID.
Trigger-Dienstkontorollen
Weisen Sie dem Dienstkonto des Triggers die Rolle "Eventarc-Ereignisempfänger" (roles/eventarc.eventReceiver
) zu:
gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member='serviceAccount:SERVICE_ACCOUNT_USER_EMAIL' \ --role='roles/eventarc.eventReceiver'
Ersetzen Sie SERVICE_ACCOUNT_USER_EMAIL
durch die E-Mail-Adresse des
Dienstkontos.
Pub/Sub-Dienstkontorolle
Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator
) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.
Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.
export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')" gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \ --role='roles/iam.serviceAccountTokenCreator'
Cloud Run-Flag
Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am nicht authentifizierten Cloud Run-Ziel bereit:
gcloud run deploy SERVICE_ACCOUNT_ID \ --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME \ --allow-unauthenticated
Ersetzen Sie die folgenden Werte:
SERVICE_ACCOUNT_ID
: die Dienstkonto-ID.SERVICE_NAME
: der Name des Cloud Run-Dienstes.
Pub/Sub-Thema
So sorgen Sie dafür, dass Sie Ereignisse aus Drittanbieterquellen erhalten, während Sie sie an ein nicht authentifiziertes Cloud Run-Ziel senden:
Nutzerrollen
Weisen Sie dem Nutzer die Rolle "Eventarc-Administrator" (roles/eventarc.admin
) zu:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=PRINCIPAL \ --role='roles/eventarc.admin'
Ersetzen Sie die folgenden Werte:
PROJECT_ID
: die Google Cloud-Projekt-ID.USER_EMAIL
: die E-Mail-Adresse des Nutzers.Beispiele:
user:test-user@gmail.com
,group:admins@example.com
,serviceAccount:test123@example.domain.com
oderdomain:example.domain.com
Trigger-Dienstkontorollen
–
Pub/Sub-Dienstkontorolle
Die Rolle Dienstkonto-Tokenersteller (roles/iam.serviceAccountTokenCreator
) wird standardmäßig dem Pub/Sub-Dienstkonto zugewiesen.
Wichtig: Wenn Sie das Pub/Sub-Dienstkonto am oder vor dem 8. April 2021 aktiviert haben, weisen Sie dem Pub/Sub-Dienstkonto die folgende Rolle pro Projekt zu.
export PROJECT_NUMBER="$(gcloud projects describe $(gcloud config get-value project) --format='value(projectNumber)')" gcloud projects add-iam-policy-binding $(gcloud config get-value project) \ --member="serviceAccount:service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com" \ --role='roles/iam.serviceAccountTokenCreator'
Cloud Run-Flag
Stellen Sie den Ereignisempfängerdienst mithilfe des folgenden Befehls am nicht authentifizierten Cloud Run-Ziel bereit:
gcloud run deploy SERVICE_ACCOUNT_ID \ --image gcr.io/$(gcloud config get-value project)/SERVICE_NAME \ --allow-unauthenticated
Ersetzen Sie die folgenden Werte:
SERVICE_ACCOUNT_ID
: die Dienstkonto-ID.SERVICE_NAME
: der Name des Cloud Run-Dienstes.