Kurzlebige Anmeldedaten für ein Dienstkonto erstellen

Auf dieser Seite wird erläutert, wie Sie die Identität eines Dienstkontos übernehmen, indem Sie kurzlebige Anmeldedaten für dieses Dienstkonto erstellen.

Einige Systemarchitekturen basieren auf Dienstkonten mit eingeschränkten Berechtigungen, die zusammen verwendet werden können. In diesem Fall müssen Sie möglicherweise Ihre Anmeldedaten aus mehreren Dienstkonten erstellen.

Kurzlebige Anmeldedaten erstellen

Dienstkonten können kurzlebige Anmeldedaten verwenden, um Aufrufe an Google Cloud APIs, andere Google APIs und Nicht-Google APIs zu authentifizieren. Kurzlebige Anmeldedaten für Dienstkonten haben eine beschränkte Lebensdauer, die in der Regel bei wenigen Stunden liegt. Kurzlebige Anmeldedaten für Dienstkonten sind nützlich, wenn Sie vertrauenswürdigen Dienstkonten eingeschränkten Zugriff auf Ressourcen gewähren müssen. Sie stellen außerdem ein geringeres Risiko dar als langlebige Anmeldedaten wie Dienstkontoschlüssel.

Kurzlebige Anmeldedaten können als OAuth 2.0-Zugriffstokens, OpenID Connect-ID-Tokens, selbstsignierte JSON Web Tokens (JWTs) und selbstsignierte binäre Objekte (Blobs) dargestellt werden. Die am häufigsten verwendeten Anmeldedatentypen sind OAuth 2.0-Zugriffstokens und OIDC-ID-Tokens (OpenID Connect). Sie können jeden Tokentyp in den folgenden Szenarien verwenden:

  • OAuth 2.0-Zugriffstoken: Ein OAuth 2.0-Zugriffstoken dient dazu, den Zugriff von einem Dienstkonto auf Google Cloud APIs zu authentifizieren. Betrachten Sie den folgenden Anwendungsfall: Um erhöhte Berechtigungen für ein Projekt zu erhalten, kann ein Administrator ein OAuth 2.0-Zugriffstoken erstellen, das zu einem Dienstkonto gehört, und dann mit diesem Token die Identität des Dienstkontos übernehmen, wenn Google Cloud APIs aufgerufen werden. Das Token hat eine kurze Lebensdauer, sodass die erhöhten Berechtigungen nur temporär gelten. Mit kurzlebigen Tokens können Sie das Prinzip der geringsten Berechtigung für Ihre Identitäten und Ressourcen implementieren. Tokens können auch nützlich sein, wenn in einer Produktionsumgebung ein Notfall auftritt und ein Administrator eine kurzfristig erhöhte Autorisierung für das Debugging benötigt.
  • OIDC-ID-Token: Ein OIDC-ID-Token eignet sich zur Authentifizierung der Identität eines Dienstkontos bei Diensten, die OpenID Connect akzeptieren. Mit einem für ein Dienstkonto erstellten OIDC-ID-Token kann sich beispielsweise eine auf der Google Cloud ausgeführte Arbeitlast gegenüber einem anderen Arbeitslast authentifizieren, die in der Cloud eines Drittanbieters bereitgestellt wird, z. B. bei einem Datenpipeline-Job. Wenn der Zieldienst mit OIDC konfiguriert ist, ist die Authentifizierung erfolgreich.

Direkte Anfrageabläufe

Wenn Sie kurzlebige Anmeldedaten für ein Dienstkonto mit einem direkten Anfrageablauf erstellen, führt der Aufrufer eine direkte Anfrage zum Erstellen kurzlebiger Anmeldedaten aus. An diesem Ablauf sind zwei Identitäten beteiligt: der Aufrufer und das Dienstkonto, für das die Anmeldedaten erstellt werden.

Wenn Ihre Systemarchitektur auf Ebenen mit Dienstkonten mit eingeschränkten Berechtigungen basiert, finden Sie weitere Informationen unter Kurzlebige Anmeldedaten aus mehreren Dienstkonten erstellen.

Vorbereitung

  • IAM and Service Account Credentials APIs aktivieren.

    Aktivieren Sie die APIs

  • Sie müssen die Informationen zu IAM-Dienstkonten verstehen

  • Aktivieren Sie die Abrechnung und die IAM API, falls Sie dies noch nicht getan haben. Führen Sie dazu die Schritte aus, die in der Kurzanleitung beschrieben werden.

Dienstkonto erstellen

Erstellen Sie als Erstes ein neues Dienstkonto.

Erforderliche Berechtigungen bereitstellen

Eine direkte Anfrage umfasst nur zwei Identitäten: den Aufrufer und das Dienstkonto, für das die Anmeldedaten erstellt werden. Berücksichtigen Sie bei diesem Ablauf die folgenden Identitäten:

  • Dienstkonto 1 (SA_1), der Aufrufer, der eine Anfrage für die kurzlebigen Anmeldedaten ausgibt
  • Dienstkonto 2 (SA_2), das Konto mit eingeschränkten Berechtigungen, für das die Anmeldedaten erstellt werden

Wenn Sie die Berechtigung SA_1 zum Erstellen kurzlebiger Anmeldedaten erteilen möchten, weisen Sie ihm die Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator) für SA_2 zu. Dies ist ein Beispiel für das Dienstkonto SA_2, das als Ressource behandelt wird: Wenn Sie die Rolle SA_2 zuweisen, aktualisieren Sie die "allow"-Richtlinie genauso, wie Sie jede andere Ressource aktualisieren würden.

In den folgenden Schritten wird die Rolle mithilfe der REST API zugewiesen. Sie können aber auch die Google Cloud Console oder die gcloud CLI verwenden.

API

Lesen Sie als Erstes die "allow"-Richtlinie für SA_2:

Die Methode serviceAccounts.getIamPolicy ruft die "allow"-Richtlinie eines Dienstkontos ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • SA_2: Der Name des Dienstkontos 2.
  • POLICY_VERSION: Die Richtlinienversion, die zurückgegeben werden soll. Anfragen sollten die neueste Richtlinienversion angeben. Diese ist Richtlinienversion 3. Weitere Informationen finden Sie unter Richtlinienversion beim Abrufen einer Richtlinie festlegen.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_2@PROJECT_ID.iam.gserviceaccount.com:getIamPolicy

JSON-Text anfordern:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie müssten in etwa folgende JSON-Antwort erhalten:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}

Wenn Sie dem Dienstkonto keine Rolle zugewiesen haben, enthält die Antwort nur einen etag-Wert. Geben Sie diesen etag-Wert im nächsten Schritt an.

Ändern Sie als Nächstes die "allow"-Richtlinie, um SA_1 die Rolle "Ersteller von Dienstkonto-Tokens" (roles/iam.serviceAccountTokenCreator) zuzuweisen.

Fügen Sie beispielsweise Folgendes hinzu, um die Beispielantwort aus dem vorherigen Schritt zu ändern:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    },
    {
      "role": "roles/iam.serviceAccountTokenCreator",
      "members": [
        "serviceAccount:SA_1@PROJECT_ID.iam.gserviceaccount.com"
      ]
    }
  ]
}

Schreiben Sie anschließend die aktualisierte "allow"-Richtlinie:

Die Methode serviceAccounts.setIamPolicy legt eine aktualisierte "allow"-Richtlinie für das Dienstkonto fest.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • SA_2: Der Name des Dienstkontos 2.
  • POLICY: Eine JSON-Darstellung der Richtlinie, die Sie festlegen möchten. Weitere Informationen zum Format einer Richtlinie finden Sie in der Richtlinienreferenz.

    Zum Festlegen der im vorherigen Schritt angezeigten Zulassungsrichtlinie ersetzen Sie beispielsweise POLICY durch Folgendes:

    {
      "version": 1,
      "etag": "BwWKmjvelug=",
      "bindings": [
        {
          "role": "roles/serviceAccountAdmin",
          "members": [
            "user:admin@example.com"
          ]
        },
        {
          "role": "roles/iam.serviceAccountTokenCreator",
          "members": [
            "serviceAccount:SA_1@PROJECT_ID.iam.gserviceaccount.com"
          ]
        }
      ]
    }
    

HTTP-Methode und URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_2@PROJECT_ID.iam.gserviceaccount.com:setIamPolicy

JSON-Text anfordern:

{
  "policy": POLICY
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die aktualisierte Zulassungsrichtlinie:

Kurzlebige Anmeldedaten anfordern

Nachdem Sie der jeweiligen Identität die entsprechenden Rollen zugewiesen haben, können Sie kurzlebige Anmeldedaten für das gewünschte Dienstkonto anfordern. Es werden die folgenden Typen von Anmeldedaten unterstützt:

OAuth 2.0-Zugriffstoken generieren

Standardmäßig sind OAuth 2.0-Zugriffstokens maximal eine Stunde (3.600 Sekunden) lang gültig. Sie können die maximale Lebensdauer dieser Tokens jedoch auf 12 Stunden (43.200 Sekunden) verlängern. Identifizieren Sie dazu zuerst die Dienstkonten, bei denen eine verlängerte Lebensdauer für Tokens festgelegt werden soll. Fügen Sie diese Dienstkonten danach einer Organisationsrichtlinie hinzu, in der die Listeneinschränkung constraints/iam.allowServiceAccountCredentialLifetimeExtension enthalten ist. Sie können dann beim Erstellen eines Tokens für diese Dienstkonten eine Lebensdauer von bis zu 43.200 Sekunden festlegen.

So generieren Sie ein OAuth 2.0-Zugriffstoken für ein Dienstkonto:

API

Die Methode serviceAccounts.generateAccessToken der Service Credentials API generiert ein OAuth 2.0-Zugriffstoken für ein Dienstkonto.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SA_NAME: Der Name des Dienstkontos, für das Sie ein Token erstellen möchten.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • LIFETIME: Die Zeit in Sekunden, bis das Zugriffstoken abläuft. Beispiel: 300s

    Standardmäßig beträgt die maximale Tokenlebensdauer 1 Stunde (3.600 Sekunden). Zur Erhöhung der maximalen Lebensdauer dieser Tokens auf 12 Stunden (43.200 Sekunden) fügen Sie das Dienstkonto einer Organisationsrichtlinie hinzu, in der die Listeneinschränkung constraints/iam.allowServiceAccountCredentialLifetimeExtension enthalten ist.

HTTP-Methode und URL:

POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com:generateAccessToken

JSON-Text anfordern:

{
  "scope": [
    "https://www.googleapis.com/auth/cloud-platform"
  ],
  "lifetime": "LIFETIME"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Wenn die Anfrage generateAccessToken erfolgreich war, enthält der Antworttext ein OAuth 2.0-Zugriffstoken und eine Ablaufzeit. Das accessToken kann dann verwendet werden, um eine Anfrage im Namen des Dienstkontos zu authentifizieren, bis die expireTime erreicht wurde:

{
  "accessToken": "eyJ0eXAi...NiJ9",
  "expireTime": "2020-04-07T15:01:23.045123456Z"
}

OpenID Connect-ID-Token generieren

OpenID Connect-ID-Tokens sind 1 Stunde (3.600 Sekunden) lang gültig. So generieren Sie ein ID-Token für ein Dienstkonto:

API

Die Methode serviceAccounts.generateIdToken der Service Account Credentials API generiert ein OpenID Connect-ID-Token für ein Dienstkonto.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SA_NAME: Der Name des Dienstkontos, für das Sie ein Token erstellen möchten.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • AUDIENCE_NAME: Die Zielgruppe für das Token, in der Regel die URL der Anwendung oder des Dienstes, auf den mit dem Token zugegriffen wird.

HTTP-Methode und URL:

POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com:generateIdToken

JSON-Text anfordern:

{
  "audience": "AUDIENCE_NAME",
  "includeEmail": "true"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Wenn die Anfrage generateId erfolgreich war, enthält der Antworttext ein ID-Token, das eine Stunde lang gültig ist. Mit token kann dann eine Anfrage im Namen des Dienstkontos authentifiziert werden:

{
  "token": "eyJ0eXAi...NiJ9"
}

Selbstsigniertes JSON Web Token (JWT) erstellen

Selbstsignierte JSON Web Tokens (JWTs) sind in verschiedenen Szenarien hilfreich. Beispiele:

  • Authentifizierung des Aufrufs einer Google API, wie in der Google-Authentifizierungsanleitung beschrieben.
  • Sicheres Kommunizieren zwischen Google Cloud- oder Nicht-Google-Diensten wie App Engine-Anwendungen. In diesem Szenario kann eine Anwendung ein Token signieren, das sich von einer anderen Anwendung zu Authentifizierungszwecken bestätigen lässt.
  • Behandlung eines Dienstkontos als Identitätsanbieter. JWT wird dabei mit beliebigen Anforderungen zu einem Nutzer, Konto oder Gerät signiert.

So generieren Sie ein selbstsigniertes JWT für ein Dienstkonto:

API

Die Methode serviceAccounts.signJwt der Service Account Credentials API signiert ein JWT mit einem vom System verwalteten privaten Schlüssel des Dienstkontos.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SA_NAME: Der Name des Dienstkontos, für das Sie ein Token erstellen möchten.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • JWT_PAYLOAD: Die zu signierende JWT-Nutzlast, bei der es sich um ein JSON-Objekt mit einem JWT-Anforderungssatz handelt. Schließen Sie die Anforderungen ein, die für den gewünschten Anwendungsfall erforderlich sind und benötigt werden, um die Validierungsanforderungen des aufzurufenden Dienstes zu erfüllen. Wenn Sie eine Google API aufrufen, lesen Sie die Informationen zu den Anforderungsbedingungen im Google-Authentifizierungsleitfaden.

    Die Anforderung exp (Ablaufzeit) darf höchstens 12 Stunden in der Zukunft liegen. Wenn Sie eine Google API aufrufen, darf die exp-Anforderung nicht mehr als eine Stunde in der Zukunft liegen.

    Die folgende Beispielnutzlast enthält Anforderungen zum Aufrufen einer Google API, wobei EXP ein ganzzahliger Zeitstempel ist, der die Ablaufzeit darstellt:

    { \"iss\": \"SA_NAME@PROJECT_ID.iam.gserviceaccount.com\", \"sub\": \"SA_NAME@PROJECT_ID.iam.gserviceaccount.com\", \"aud\": \"https://firestore.googleapis.com/\", \"iat\": 1529350000, \"exp\": EXP }

HTTP-Methode und URL:

POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com:signJwt

JSON-Text anfordern:

{
  "payload": "JWT_PAYLOAD"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Wenn die signJwt-Anfrage erfolgreich war, enthält der Antworttextkörper ein signiertes JWT und die ID des Signaturschlüssels, der zum Signieren des JWT verwendet wurde. Sie können den Wert signedJwt als Inhabertoken verwenden, um eine Anfrage im Namen des Dienstkontos direkt zu authentifizieren. Das Token ist bis zu der in der Anfrage angegebenen Ablaufzeit gültig:

{
  "keyId": "42ba1e...fc0a",
  "signedJwt": "eyJ0eXAi...NiJ9"
}

Selbstsigniertes Blob erstellen

Selbstsignierte Blobs sind hilfreich in Szenarien, in denen beliebige binäre Daten sicher übertragen werden müssen. Sie werden in der Regel zu Authentifizierungszwecken verwendet. Wenn Sie beispielsweise einen benutzerdefinierten Protokoll-/Tokentyp (nicht JWT) nutzen möchten, können Sie diese Daten zur Verwendung durch einen nachgeschalteten Dienst in ein signiertes Blob einfügen.

So generieren Sie ein selbstsigniertes Blob für ein Dienstkonto:

API

Die Methode serviceAccounts.signBlob der Service Account Credentials API signiert ein Blob mit einem vom System verwalteten privaten Schlüssel des Dienstkontos.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • SA_NAME: Der Name des Dienstkontos, für das Sie ein Token erstellen möchten.
  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • BLOB_PAYLOAD Ein base64-codierter String aus Byte. Beispiel: VGhlIHF1aWNrIGJyb3duIGZveCBqdW1wZWQgb3ZlciB0aGUgbGF6eSBkb2cu.

HTTP-Methode und URL:

POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com:signBlob

JSON-Text anfordern:

{
  "payload": "BLOB_PAYLOAD"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Wenn die signBlob-Anfrage erfolgreich war, enthält der Antworttext ein signiertes Blob und die Signierschlüssel-ID, mit der das Blob signiert wurde. Sie können den Wert signedBlob als Inhabertoken verwenden, um eine Anfrage im Namen des Dienstkontos direkt zu authentifizieren. Das Token ist gültig, bis der vom System verwaltete private Schlüssel des Dienstkontos abläuft. Die ID dieses Schlüssels ist der Wert des Feldes keyId in der Antwort.

{
  "keyId": "42ba1e...fc0a",
  "signedBlob": "eyJ0eXAi...NiJ9"
}