Auf dieser Seite wird beschrieben, wie Sie den Zugriff eines Hauptkontos auf ein einzelnes Dienstkonto gewähren, ändern und widerrufen. Um den Zugriff eines Hauptkontos auf alle Dienstkonten in einem Projekt, Ordner oder einer Organisation zu verwalten, verwalten Sie den Zugriff auf Projekt-, Ordner- oder Organisationsebene.
In der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) wird der Zugriff über „allow”-Richtlinien (auch als IAM-Richtlinien bezeichnet) verwaltet. Eine „allow”-Richtlinie ist mit einer Google Cloud-Ressource verknüpft. Jede Richtlinie enthält eine Sammlung von Rollenbindungen, die ein oder mehrere Hauptkonten, z. B. Nutzer oder Dienstkonten, mit einer IAM-Rolle verknüpfen. Diese Rollenbindungen gewähren den Hauptkonten die angegebenen Rollen sowohl für die Ressource, mit der die „allow”-Richtlinie verbunden ist, als auch für alle Nachfolgerelemente der Ressource. Weitere Informationen zu „allow”-Richtlinien finden Sie unter „allow”-Richtlinien.
Dienstkonten sind sowohl Ressourcen, auf die andere Hauptkonten Zugriff erhalten können, als auch Hauptkonten, denen Zugriff auf andere Ressourcen gewährt werden kann. Auf dieser Seite werden Dienstkonten als Ressourcen behandelt und es wird beschrieben, wie Sie anderen Hauptkonten Zugriff darauf gewähren. In den folgenden Anleitungen wird beschrieben, wie Sie einem Dienstkonto Zugriff auf andere Ressourcen gewähren:
- Informationen zum Gewähren des Zugriffs auf ein Projekt, einen Ordner oder eine Organisation für ein Dienstkonto finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
- Wie Sie einem Dienstkonto Zugriff auf andere Ressourcen gewähren, erfahren Sie unter Zugriff auf andere Ressourcen verwalten.
Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Dienstkonten mithilfe der Google Cloud Console, des Google Cloud CLI und der REST API verwalten. Sie können den Zugriff auch mithilfe von IAM-Clientbibliotheken verwalten.
Hinweis
Enable the IAM API.
Weitere Informationen zu Dienstkonten
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Dienstkontoadministrator (roles/iam.serviceAccountAdmin
) für das Dienstkonto oder das Projekt, dem das Dienstkonto gehört, zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten des Zugriffs auf ein Dienstkonto benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten des Zugriffs auf ein Dienstkonto erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um den Zugriff auf ein Dienstkonto zu verwalten:
-
iam.serviceAccounts.get
-
iam.serviceAccounts.list
-
iam.serviceAccounts.getIamPolicy
-
iam.serviceAccounts.setIamPolicy
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Aktuellen Zugriff ansehen
Im folgenden Abschnitt erfahren Sie, wie Sie sich mit der Google Cloud Console, der gcloud CLI und der REST API den Zugriff auf ein Dienstkonto ansehen. Sie können den Zugriff auch mithilfe der IAM-Clientbibliotheken einsehen, um die Zulassungsrichtlinie des Dienstkontos abzurufen.
Console
Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.
Wählen Sie ein Projekt aus.
Klicken Sie auf die E-Mail-Adresse des Dienstkontos.
Wechseln Sie zum Tab Berechtigungen. Im Abschnitt Hauptkonten mit Zugriff auf dieses Dienstkonto werden alle Hauptkonten aufgelistet, denen eine Rolle für das Dienstkonto zugewiesen wurde.
Diese Liste enthält Hauptkonten, deren Zugriff von Rollen stammt, die für übergeordnete Ressourcen gewährt wurden. Weitere Informationen zur Richtlinienübernahme finden Sie unter Richtlinienübernahme und die Ressourcenhierarchie.
Optional: Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen, um Rollenzuweisungen für Dienst-Agents aufzurufen.
gcloud
Wenn Sie sehen möchten, wer Zugriff auf Ihr Dienstkonto hat, rufen Sie die Zulassungsrichtlinie für das Dienstkonto ab. Informationen zum Interpretieren von „allow”-Richtlinien finden Sie unter Informationen zu „allow”-Richtlinien.
Um die Zulassungsrichtlinie für das Dienstkonto abzurufen, führen Sie den Befehl get-iam-policy
für das Dienstkonto aus:
gcloud iam service-accounts get-iam-policy SA_ID --format=FORMAT > PATH
Geben Sie folgende Werte an:
SA_ID
: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im FormatSA_NAME@PROJECT_ID.iam.gserviceaccount.com
oder die eindeutige numerische ID des Dienstkontos sein.FORMAT
: Das Format der Richtlinie. Verwenden Siejson
oderyaml
.PATH
: Pfad zu einer neuen Ausgabedatei für die Richtlinie.
Mit dem folgenden Befehl wird beispielsweise die Richtlinie für das Dienstkonto my-service-account
abgerufen und im JSON-Format in Ihrem Basisverzeichnis gespeichert:
gcloud iam service-accounts get-iam-policy my-service-account --format json > ~/policy.json
REST
Wenn Sie sehen möchten, wer Zugriff auf Ihr Dienstkonto hat, rufen Sie die Zulassungsrichtlinie für das Dienstkonto ab. Informationen zum Interpretieren von „allow”-Richtlinien finden Sie unter Informationen zu „allow”-Richtlinien.
Die Methode serviceAccounts.getIamPolicy
ruft die Zulassungsrichtlinie eines Dienstkontos ab.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.SA_ID
: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im FormatSA_NAME@PROJECT_ID.iam.gserviceaccount.com
oder die eindeutige numerische ID des Dienstkontos sein.POLICY_VERSION
: Die Richtlinienversion, die zurückgegeben werden soll. Anfragen sollten die neueste Richtlinienversion angeben. Diese ist Richtlinienversion 3. Weitere Informationen finden Sie unter Richtlinienversion beim Abrufen einer Richtlinie festlegen.
HTTP-Methode und URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy
JSON-Text anfordern:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Zulassungsrichtlinie des Dienstkontos. Beispiel:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "user:my-user@example.com" ] } ] }
Einzelne Rolle gewähren oder widerrufen
Sie können die Google Cloud Console und die gcloud CLI verwenden, um für ein einzelnes Hauptkonto schnell eine einzelne Rolle zuzuweisen oder zu widerrufen, ohne die Zulassungsrichtlinie des Dienstkontos direkt zu bearbeiten. Zu den gängigen Typen von Hauptkonten zählen Google-Konten, Dienstkonten, Google-Gruppen und Domains. Eine Liste der Typen von Hauptkonten finden Sie unter Konzepte in Verbindung mit Identität.
Im Allgemeinen werden Richtlinienänderungen innerhalb von zwei Minuten wirksam. In einigen Fällen kann es jedoch sieben Minuten oder länger dauern, bis die Änderungen im gesamten System wirksam wurden.
Hilfe bei der Ermittlung der am besten geeigneten vordefinierten Rolle finden Sie unter Vordefinierte Rollen auswählen.
Einzelne Rolle gewähren
So weisen Sie einem Hauptkonto eine einzelne Rolle zu:
Console
Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.
Wählen Sie ein Projekt aus.
Klicken Sie auf die E-Mail-Adresse des Dienstkontos.
Wechseln Sie zum Tab Berechtigungen und suchen Sie den Abschnitt Hauptkonten mit Zugriff auf dieses Dienstkonto.
Wählen Sie ein Hauptkonto aus, um in folgenden Fällen eine Rolle zuzuweisen:
Wenn Sie eine Rolle einem Hauptkonto zuweisen möchten, das bereits andere Rollen für das Dienstkonto hat, suchen Sie nach einer Zeile, die das Hauptkonto enthält, klicken Sie in der Zeile auf
Hauptkonto bearbeiten und klicken Sie dann auf Weitere Rolle hinzufügen.Wenn Sie einem Kundenservicemitarbeiter eine Rolle zuweisen möchten, müssen Sie das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen anklicken, um die entsprechende E-Mail-Adresse zu sehen.
Wenn Sie einer Entität eine Rolle zuweisen möchten, die noch keine Rollen für das Dienstkonto hat, klicken Sie auf
Zugriff gewähren und geben Sie dann eine Kennung für die Entität ein, z. B.my-user@example.com
.
Wählen Sie eine zu gewährende Rolle aus der Drop-down-Liste aus. Wählen Sie als Best Practice für die Sicherheit eine Rolle aus, die nur die Berechtigungen enthält, die das Hauptkonto benötigt.
Optional: Fügen Sie der Rolle eine Bedingung hinzu.
Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle für das Dienstkonto zugewiesen.
gcloud
Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, führen Sie den Befehl add-iam-policy-binding
aus:
gcloud iam service-accounts add-iam-policy-binding SA_ID \ --member=PRINCIPAL --role=ROLE_NAME \ --condition=CONDITION
Geben Sie folgende Werte an:
SA_ID
: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im FormatSA_NAME@PROJECT_ID.iam.gserviceaccount.com
oder die eindeutige numerische ID des Dienstkontos sein.PRINCIPAL
: Eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat:PRINCIPAL-TYPE:ID
. Beispiel:user:my-user@example.com
Eine vollständige Liste der fürPRINCIPAL
zulässigen Werte finden Sie unter Principal-IDs.Beim Hauptkontotyp
user
muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.ROLE_NAME
: Der Name der Rolle, die Sie zuweisen möchten. Verwenden Sie eines der folgenden Formate:- Vordefinierte Rollen:
roles/SERVICE.IDENTIFIER
- Benutzerdefinierte Rollen auf Projektebene:
projects/PROJECT_ID/roles/IDENTIFIER
- Benutzerdefinierte Rollen auf Organisationsebene:
organizations/ORG_ID/roles/IDENTIFIER
Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.
- Vordefinierte Rollen:
CONDITION
: Optional. Die Bedingung, die der Rollenbindung hinzugefügt werden soll. Weitere Informationen zu Bedingungen finden Sie in der Übersicht der Bedingungen.
So gewähren Sie dem Nutzermy-user@example.combeispielsweise die Rolle „Dienstkontonutzer“ für das Dienstkonto my-service-account@my-project.iam.gserviceaccount.com
:
gcloud iam service-accounts add-iam-policy-binding my-service-account@my-project.iam.gserviceaccount.com \ --member=user:my-user@example.com --role=roles/iam.serviceAccountUser
Einzelne Rolle widerrufen
So widerrufen Sie eine einzelne Rolle eines Hauptkontos:
Console
Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.
Wählen Sie ein Projekt aus.
Klicken Sie auf die E-Mail-Adresse des Dienstkontos.
Wechseln Sie zum Tab Berechtigungen und suchen Sie den Abschnitt Hauptkonten mit Zugriff auf dieses Dienstkonto.
Suchen Sie die Zeile mit dem Hauptkonto, dessen Zugriff Sie widerrufen möchten. Klicken Sie dann auf
Hauptkonto bearbeiten in dieser Zeile.Klicken Sie für die Rolle, die Sie entziehen möchten, auf die Schaltfläche Löschen
und dann auf Speichern.
gcloud
Wenn Sie einem Nutzer eine Rolle entziehen möchten, führen Sie den Befehl remove-iam-policy-binding
aus:
gcloud iam service-accounts remove-iam-policy-binding SA_ID \ --member=PRINCIPAL --role=ROLE_NAME
Geben Sie folgende Werte an:
SA_ID
: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im FormatSA_NAME@PROJECT_ID.iam.gserviceaccount.com
oder die eindeutige numerische ID des Dienstkontos sein.PRINCIPAL
: Eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat:PRINCIPAL-TYPE:ID
. Beispiel:user:my-user@example.com
Eine vollständige Liste der fürPRINCIPAL
zulässigen Werte finden Sie unter Principal-IDs.Beim Hauptkontotyp
user
muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.ROLE_NAME
: Der Name der Rolle, die Sie aufheben möchten. Verwenden Sie eines der folgenden Formate:- Vordefinierte Rollen:
roles/SERVICE.IDENTIFIER
- Benutzerdefinierte Rollen auf Projektebene:
projects/PROJECT_ID/roles/IDENTIFIER
- Benutzerdefinierte Rollen auf Organisationsebene:
organizations/ORG_ID/roles/IDENTIFIER
Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.
- Vordefinierte Rollen:
So widerrufen Sie z. B. die Rolle „Dienstkontonutzer“ des Nutzersmy-user@example.comfür das Dienstkonto my-service-account@my-project.iam.gserviceaccount.com
:
gcloud iam service-accounts remove-iam-policy-binding my-service-account@my-project.iam.gserviceaccount.com \ --member=user:my-user@example.com --role=roles/iam.serviceAccountUser
Mehrere Rollen mithilfe der Google Cloud Console zuweisen oder widerrufen
In der Google Cloud Console können Sie für ein einzelnes Hauptkonto mehrere Rollen zuweisen und widerrufen:
Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.
Wählen Sie ein Projekt aus.
Klicken Sie auf die E-Mail-Adresse des Dienstkontos.
Wechseln Sie zum Tab Berechtigungen und suchen Sie den Abschnitt Hauptkonten mit Zugriff auf dieses Dienstkonto.
Wählen Sie das Hauptkonto aus, dessen Rollen Sie ändern möchten:
Wenn Sie Rollen für ein Hauptkonto ändern möchten, das bereits Rollen für das Dienstkonto hat, suchen Sie die Zeile mit dem Hauptkonto und klicken Sie in dieser Zeile auf
Hauptkonto bearbeiten. Klicken Sie dann auf Weitere Rolle hinzufügen.Wenn Sie Rollen für einen Kundenservicemitarbeiter ändern möchten, klicken Sie das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen an, um die entsprechende E-Mail-Adresse zu sehen.
Wenn Sie Rollen für ein Hauptkonto zuweisen möchten, das noch keine Rollen für das Dienstkonto hat, klicken Sie auf
Zugriff gewähren und geben Sie dann die E-Mail-Adresse oder eine andere Kennung des Hauptkontos ein.
Ändern Sie die Rollen des Hauptkontos:
- Wenn Sie eine Rolle für ein Hauptkonto zuweisen möchten, das noch keine Rollen für die Ressource hat, klicken Sie auf Rolle auswählen und wählen Sie eine Rolle aus der Drop-down-Liste aus.
- Wenn Sie dem Hauptkonto eine zusätzliche Rolle zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und wählen Sie dann eine Rolle aus der Drop-down-Liste aus.
- Wenn Sie eine der Rollen des Hauptkontos durch eine andere Rolle ersetzen möchten, klicken Sie auf die vorhandene Rolle und wählen Sie dann eine andere Rolle aus der Drop-down-Liste aus.
- Wenn Sie eine der Rollen des Hauptkontos widerrufen möchten, klicken Sie für jede Rolle, die Sie widerrufen möchten, auf die Schaltfläche Löschen .
Sie können einer Rolle auch eine Bedingung hinzufügen, die Bedingung einer Rolle ändern oder die Bedingung einer Rolle entfernen.
Klicken Sie auf Speichern.
Mehrere Rollen programmatisch gewähren oder widerrufen
Um umfangreiche Zugriffsänderungen vorzunehmen, bei denen mehrere Rollen für mehrere Hauptkonten zugewiesen und widerrufen werden, verwenden Sie das Muster read-modify-write, um die Zulassungsrichtlinie des Dienstkontos zu aktualisieren:
- Lesen Sie die aktuelle Zulassungsrichtlinie, indem Sie
getIamPolicy()
aufrufen. - Zulassungsrichtlinie entweder mithilfe eines Texteditors oder programmatisch bearbeiten, um Hauptkonten oder Rollenbindungen hinzuzufügen oder zu entfernen.
- Schreiben Sie die aktualisierte Zulassungsrichtlinie durch Aufrufen von
setIamPolicy()
.
In diesem Abschnitt wird gezeigt, wie Sie mit der gcloud CLI und der REST API die Zulassungsrichtlinie aktualisieren. Sie können die Zulassungsrichtlinie auch mit den IAM-Clientbibliotheken aktualisieren.
Im Allgemeinen werden Richtlinienänderungen innerhalb von zwei Minuten wirksam. In einigen Fällen kann es jedoch sieben Minuten oder länger dauern, bis die Änderungen im gesamten System wirksam wurden.
Aktuelle Zulassungsrichtlinie abrufen
gcloud
Um die Zulassungsrichtlinie für das Dienstkonto abzurufen, führen Sie den Befehl get-iam-policy
für das Dienstkonto aus:
gcloud iam service-accounts get-iam-policy SA_ID --format=FORMAT > PATH
Geben Sie folgende Werte an:
SA_ID
: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im FormatSA_NAME@PROJECT_ID.iam.gserviceaccount.com
oder die eindeutige numerische ID des Dienstkontos sein.FORMAT
: Das Format für die Zulassungsrichtlinie. Verwenden Siejson
oderyaml
.PATH
: Den Pfad zu einer neuen Ausgabedatei für die Zulassungsrichtlinie.
Mit dem folgenden Befehl wird beispielsweise die Zulassungsrichtlinie für das Dienstkonto my-service-account
abgerufen und im JSON-Format in Ihrem Basisverzeichnis gespeichert:
gcloud iam service-accounts get-iam-policy my-service-account --format json > ~/policy.json
REST
Die Methode serviceAccounts.getIamPolicy
ruft die Zulassungsrichtlinie eines Dienstkontos ab.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.SA_ID
: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im FormatSA_NAME@PROJECT_ID.iam.gserviceaccount.com
oder die eindeutige numerische ID des Dienstkontos sein.POLICY_VERSION
: Die Richtlinienversion, die zurückgegeben werden soll. Anfragen sollten die neueste Richtlinienversion angeben. Diese ist Richtlinienversion 3. Weitere Informationen finden Sie unter Richtlinienversion beim Abrufen einer Richtlinie festlegen.
HTTP-Methode und URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy
JSON-Text anfordern:
{ "options": { "requestedPolicyVersion": POLICY_VERSION } }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Zulassungsrichtlinie des Dienstkontos. Beispiel:
{ "version": 1, "etag": "BwWKmjvelug=", "bindings": [ { "role": "roles/serviceAccountAdmin", "members": [ "user:my-user@example.com" ] } ] }
Speichern Sie die Antwort in einer Datei des entsprechenden Typs (json
oder yaml
).
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Ändern Sie die Zulassungsrichtlinie
Passen Sie die lokale Kopie der Zulassungsrichtlinie Ihres Dienstkontos programmatisch oder mit einem Texteditor an die Rollen an, die Sie bestimmten Nutzern gewähren oder entziehen möchten.
Bearbeiten Sie das Feld etag
der Zulassungsrichtlinie nicht und entfernen Sie es nicht, um sicherzustellen, dass Sie keine anderen Richtlinienänderungen überschreiben. Das Feld etag
gibt den aktuellen Zustand der Zulassungsrichtlinie an. Wenn Sie die aktualisierte Zulassungsrichtlinie festlegen, vergleicht IAM den etag
-Wert in der Anfrage mit dem vorhandenen etag
und schreibt die Zulassungsrichtlinie nur, wenn die Werte übereinstimmen.
Wenn Sie die Rollen bearbeiten möchten, die durch eine Zulassungsrichtlinie gewährt werden, müssen Sie die Rollenbindungen in der Zulassungsrichtlinie bearbeiten. Rollenbindungen haben folgendes Format:
{ "role": "ROLE_NAME", "members": [ "PRINCIPAL_1", "PRINCIPAL_2", ... "PRINCIPAL_N" ], "conditions:" { CONDITIONS } }
Die Platzhalter haben folgende Werte:
ROLE_NAME
: Der Name der Rolle, die Sie zuweisen möchten. Verwenden Sie eines der folgenden Formate:- Vordefinierte Rollen:
roles/SERVICE.IDENTIFIER
- Benutzerdefinierte Rollen auf Projektebene:
projects/PROJECT_ID/roles/IDENTIFIER
- Benutzerdefinierte Rollen auf Organisationsebene:
organizations/ORG_ID/roles/IDENTIFIER
Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.
- Vordefinierte Rollen:
PRINCIPAL_1
,PRINCIPAL_2
,...PRINCIPAL_N
: IDs für die Hauptkonten, denen Sie die Rolle zuweisen möchten.Hauptkonto-Kennzeichnungen haben normalerweise das folgende Format:
PRINCIPAL-TYPE:ID
. Beispiel:user:my-user@example.com
. Eine vollständige Liste der fürPRINCIPAL
zulässigen Werte finden Sie unter Principal-IDs.Beim Hauptkontotyp
user
muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.CONDITIONS
: Optional. Bedingungen, die festlegen, wann der Zugriff gewährt wird.
Rolle zuweisen
Ändern Sie die Rollenbindungen in der Zulassungsrichtlinie, um Ihren Hauptkonten Rollen zuzuweisen. Informationen zu den Rollen, die Sie zuweisen können, finden Sie unter Informationen zu Rollen oder Zuweisbare Rollen anzeigen für das Dienstkonto. Hilfe bei der Ermittlung der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.
Optional können Sie Bedingungen zum Zuweisen von Rollen verwenden, wenn bestimmte Anforderungen erfüllt sein müssen.
Um eine Rolle zuzuweisen, die bereits in der Zulassungsrichtlinie enthalten ist, fügen Sie das Hauptkonto einer vorhandenen Rollenbindung hinzu:
gcloud
Bearbeiten Sie die zurückgegebene Zulassungsrichtlinie, indem Sie das Hauptkonto einer vorhandenen Rollenbindung hinzufügen. Beachten Sie, dass diese Änderung erst wirksam wird, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die Kai die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser
) zuweist:
{
"role": "roles/iam.serviceAccountUser",
"members": [
"user:kai@example.com"
]
}
Fügen Sie Raha der vorhandenen Rollenbindung hinzu, um Raha dieselbe Rolle zuzuweisen:
{ "role": "roles/iam.serviceAccountUser", "members": [ "user:kai@example.com", "user:raha@example.com" ] }
REST
Bearbeiten Sie die zurückgegebene Zulassungsrichtlinie, indem Sie das Hauptkonto einer vorhandenen Rollenbindung hinzufügen. Beachten Sie, dass diese Änderung erst wirksam wird, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die Kai die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser
) zuweist:
{
"role": "roles/iam.serviceAccountUser",
"members": [
"user:kai@example.com"
]
}
Fügen Sie Raha der vorhandenen Rollenbindung hinzu, um Raha dieselbe Rolle zuzuweisen:
{ "role": "roles/iam.serviceAccountUser", "members": [ "user:kai@example.com", "user:raha@example.com" ] }
Fügen Sie eine neue Rollenbindung hinzu, um eine Rolle zuzuweisen, die in der Zulassungsrichtlinie noch nicht enthalten ist.
gcloud
Bearbeiten Sie die Zulassungsrichtlinie, indem Sie eine neue Rollenbindung hinzufügen, die dem Hauptkonto die Rolle zuweist. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Beispiel: Fügen Sie dem Array bindings
für die Zulassungsrichtlinie die folgende Rollenbindung hinzu, um Raha die Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator
) zuzuweisen:
{
"role": "roles/iam.serviceAccountTokenCreator",
"members": [
"user:raha@example.com"
]
}
REST
Bearbeiten Sie die Zulassungsrichtlinie, indem Sie eine neue Rollenbindung hinzufügen, die dem Hauptkonto die Rolle zuweist. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Beispiel: Fügen Sie dem Array bindings
für die Zulassungsrichtlinie die folgende Rollenbindung hinzu, um Raha die Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator
) zuzuweisen:
{
"role": "roles/iam.serviceAccountTokenCreator",
"members": [
"user:raha@example.com"
]
}
Rolle entziehen
Um eine Rolle zu entziehen, entfernen Sie das Hauptkonto aus der Rollenbindung. Wenn die Rollenbindung keine anderen Hauptkonten enthält, entfernen Sie die gesamte Rollenbindung aus der Zulassungsrichtlinie.
gcloud
Bearbeiten Sie die Zulassungsrichtlinie, indem Sie das Hauptkonto oder die gesamte Rollenbindung entfernen. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die Kai und Raha die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser
) zuweist:
{
"role": "roles/iam.serviceAccountUser",
"members": [
"user:kai@example.com",
"user:raha@example.com"
]
}
Entfernen Sie die Hauptkonto-ID von Kai aus der Rollenbindung, um Kai die Rolle zu entziehen:
{
"role": "roles/iam.serviceAccountUser",
"members": [
user:raha@example.com
]
}
Wenn Sie die Rolle sowohl für Kai als auch für Raha widerrufen möchten, entfernen Sie die Rollenbindung aus der Zulassungsrichtlinie.
REST
Bearbeiten Sie die Zulassungsrichtlinie, indem Sie das Hauptkonto oder die gesamte Rollenbindung entfernen. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die Kai und Raha die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser
) zuweist:
{
"role": "roles/iam.serviceAccountUser",
"members": [
"user:kai@example.com",
"user:raha@example.com"
]
}
Entfernen Sie die Hauptkonto-ID von Kai aus der Rollenbindung, um Kai die Rolle zu entziehen:
{
"role": "roles/iam.serviceAccountUser",
"members": [
user:raha@example.com
]
}
Wenn Sie die Rolle sowohl für Kai als auch für Raha widerrufen möchten, entfernen Sie die Rollenbindung aus der Zulassungsrichtlinie.
Zulassungsrichtlinie festlegen
Nachdem Sie die Zulassungsrichtlinie geändert haben, um Rollen zuzuweisen und zu widerrufen, rufen Sie setIamPolicy()
auf, um Aktualisierungen vorzunehmen.
gcloud
Führen Sie zum Festlegen der Richtlinie für die Ressource den Befehl set-iam-policy
für das Dienstkonto aus:
gcloud iam service-accounts set-iam-policy SA_ID PATH
Geben Sie folgende Werte an:
SA_ID
: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im FormatSA_NAME@PROJECT_ID.iam.gserviceaccount.com
oder die eindeutige numerische ID des Dienstkontos sein.PATH
: Der Pfad zu einer Datei, die die neue Zulassungsrichtlinie enthält.
Die Antwort enthält die aktualisierte Zulassungsrichtlinie:
Mit dem folgenden Befehl wird beispielsweise die in policy.json
gespeicherte Zulassungsrichtlinie als Zulassungsrichtlinie für das Dienstkonto my-service-account@my-project.iam.gserviceaccount.com
festgelegt:
gcloud iam service-accounts set-iam-policy my-service-account@my-project.iam.gserviceaccount.com \ ~/policy.json
REST
Die Methode serviceAccounts.setIamPolicy
legt eine aktualisierte Zulassungsrichtlinie für das Dienstkonto fest.
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
PROJECT_ID
: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wiemy-project
.SA_ID
: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im FormatSA_NAME@PROJECT_ID.iam.gserviceaccount.com
oder die eindeutige numerische ID des Dienstkontos sein.-
POLICY
: Eine JSON-Darstellung der Richtlinie, die Sie festlegen möchten. Weitere Informationen zum Format einer Richtlinie finden Sie in der Richtlinienreferenz.Zum Festlegen der im vorherigen Schritt angezeigten Zulassungsrichtlinie ersetzen Sie beispielsweise
policy
durch Folgendes:{ "version": 1, "etag": "BwUqLaVeua8=", "bindings": [ { "role": "roles/iam.serviceAccountUser", "members": [ "group:my-group@example.com" ] }, { "role": "roles/serviceAccountAdmin", "members": [ "user:my-user@example.com" ] } ] }
HTTP-Methode und URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:setIamPolicy
JSON-Text anfordern:
{ "policy": POLICY }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die aktualisierte Zulassungsrichtlinie:
Java
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Java API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Informationen zum Installieren und Verwenden der Clientbibliothek für IAM finden Sie unter IAM-Clientbibliotheken. Weitere Informationen finden Sie in der IAM-Referenzdokumentation zur Python API.
Richten Sie zur Authentifizierung bei IAM die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Nächste Schritte
- Rollen zuweisen, die Hauptkonten die Authentifizierung als Dienstkonten ermöglichen
- Geeignete vordefinierte Rollen auswählen
- Informationen zur sicheren Verwendung von Dienstkonten finden Sie unter Best Practices für die Arbeit mit Dienstkonten.
- Zugriff auf Projekte, Ordner und Organisationen verwalten
- Zugriff auf andere Ressourcen verwalten (allgemein)
- Informationen zum Erteilen des Zugriffs eines Hauptkontos mit bedingten Rollenbindungen
Jetzt testen
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten