Zugriff auf Dienstkonten verwalten

Auf dieser Seite wird beschrieben, wie Sie den Zugriff eines Mitglieds auf ein einzelnes Dienstkonto gewähren, ändern und widerrufen. Um den Zugriff eines Mitglieds auf alle Dienstkonten in einem Projekt, Ordner oder einer Organisation zu verwalten, verwalten Sie den Zugriff auf Projekt-, Ordner- oder Organisationsebene.

In Identity and Access Management (IAM) wird der Zugriff über IAM-Richtlinien verwaltet. Eine IAM-Richtlinie ist mit einer Google Cloud-Ressource verknüpft. Jede Richtlinie enthält eine Sammlung von Rollenbindungen, die ein oder mehrere Mitglieder, z. B. Nutzer oder Dienstkonten, mit einer IAM-Rolle verknüpfen. Diese Rollenbindungen gewähren den Mitgliedern die angegebenen Rollen sowohl für die Ressource, mit der die Richtlinie verbunden ist, als auch für alle Nachfolger der Ressource. Weitere Informationen zu IAM-Richtlinien finden Sie unter Informationen zu Richtlinien.

Dienstkonten sind sowohl Ressourcen, für die andere Mitglieder Zugriff erhalten können, als auch Mitglieder, denen Zugriff auf andere Ressourcen gewährt werden kann. Auf dieser Seite werden Dienstkonten als Ressourcen behandelt und es wird beschrieben, wie Sie anderen Mitgliedern Zugriff darauf gewähren. In den folgenden Anleitungen wird beschrieben, wie Sie einem Dienstkonto Zugriff auf andere Ressourcen gewähren:

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Dienstkonten mit der Google Cloud Console, dem gcloud-Befehlszeilentool und der REST API verwalten. Sie können den Zugriff auch mithilfe von IAM-Clientbibliotheken verwalten.

Hinweis

Weitere Informationen zu Dienstkonten

Erforderliche Berechtigungen

Sie benötigen eine Rolle mit den folgenden Berechtigungen, um den Zugriff auf ein Dienstkonto zu verwalten:

  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy

Damit Sie diese Berechtigungen erhalten und gleichzeitig das Prinzip der geringsten Berechtigung anwenden, bitten Sie Ihren Administrator, Ihnen eine der folgenden Rollen zu gewähren:

  • Dienstkontoadministrator (roles/iam.serviceAccountAdmin)
  • Sicherheitsadministrator (roles/iam.securityAdmin)

Alternativ kann Ihr Administrator Ihnen eine andere Rolle mit den erforderlichen Berechtigungen zuweisen, z. B. eine benutzerdefinierte Rolle oder eine vordefinierte Rolle mit mehr Berechtigungen.

Aktuellen Zugriff ansehen

Im folgenden Abschnitt erfahren Sie, wie Sie sich mit der Cloud Console, dem gcloud-Tool und der REST API den Zugriff auf ein Dienstkonto ansehen. Sie können den Zugriff auch mithilfe der IAM-Clientbibliotheken einsehen, um die IAM-Richtlinie des Dienstkontos abzurufen.

Console

  1. Rufen Sie in der Cloud Console die Seite Dienstkonten auf.

    Zur Seite „Dienstkonten“

  2. Wählen Sie ein Projekt aus.

  3. Klicken Sie auf die E-Mail-Adresse des Dienstkontos.

  4. Wechseln Sie zum Tab Berechtigungen. Im Abschnitt Mitglieder mit Zugriff auf dieses Dienstkonto werden alle Mitglieder aufgelistet, denen eine Rolle für das Dienstkonto zugewiesen wurde.

    Diese Liste enthält Mitglieder, deren Zugriff von Rollen stammt, die für übergeordnete Ressourcen gewährt wurden. Weitere Informationen zur Richtlinienübernahme finden Sie unter Richtlinienübernahme und die Ressourcenhierarchie.

  5. Optional: Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen, um Rollenzuweisungen für von Google verwaltete Dienstkonten aufzurufen.

gcloud

Wenn Sie sehen möchten, wer Zugriff auf Ihr Dienstkonto hat, rufen Sie die IAM-Richtlinie für das Dienstkonto ab. Informationen zum Interpretieren von IAM-Richtlinien finden Sie unter Richtlinien verstehen.

Um die IAM-Richtlinie für das Dienstkonto abzurufen, führen Sie den Befehl get-iam-policy für das Dienstkonto aus:

gcloud iam service-accounts get-iam-policy SA_ID --format=FORMAT > PATH

Geben Sie folgende Werte an:

  • SA_ID: Die ID Ihres Dienstkontos. Dies kann die E-Mail-Adresse des Dienstkontos sein.
  • FORMAT: Das gewünschte Format für die Richtlinie. Verwenden Sie json oder yaml.
  • PATH: Pfad zu einer neuen Ausgabedatei für die Richtlinie.

Mit dem folgenden Befehl wird beispielsweise die Richtlinie für das Dienstkonto my-service-account abgerufen und im JSON-Format in Ihrem Basisverzeichnis gespeichert:

gcloud iam service-accounts get-iam-policy my-service-account --format json > ~/policy.json

REST

Wenn Sie sehen möchten, wer Zugriff auf Ihr Dienstkonto hat, rufen Sie die IAM-Richtlinie für das Dienstkonto ab. Informationen zum Interpretieren von IAM-Richtlinien finden Sie unter Richtlinien verstehen.

Die Methode serviceAccounts.getIamPolicy ruft die IAM-Richtlinie eines Dienstkontos ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

  • POLICY_VERSION: Die Richtlinienversion, die zurückgegeben werden soll. Anfragen sollten die neueste Richtlinienversion angeben. Diese ist Richtlinienversion 3. Weitere Informationen finden Sie unter Richtlinienversion beim Abrufen einer Richtlinie festlegen.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy

JSON-Text anfordern:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die IAM-Richtlinie des Dienstkontos. Beispiel:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}

Einzelne Rolle gewähren oder widerrufen

Sie können die Cloud Console und das gcloud-Tool verwenden, um für ein einzelnes Mitglied schnell eine einzelne Rolle zuzuweisen oder zu widerrufen, ohne die IAM-Richtlinie des Dienstkontos direkt zu bearbeiten. Zu den gängigen Mitgliedstypen zählen Google-Konten, Dienstkonten, Google-Gruppen und Domains. Eine Liste der Mitgliedstypen in IAM finden Sie unter Konzepte in Verbindung mit Identität.

Einzelne Rolle gewähren

So weisen Sie einem Mitglied eine einzelne Rolle zu:

Console

  1. Rufen Sie in der Cloud Console die Seite Dienstkonten auf.

    Zur Seite „Dienstkonten“

  2. Wählen Sie ein Projekt aus.

  3. Klicken Sie auf die E-Mail-Adresse des Dienstkontos.

  4. Wechseln Sie zum Tab Berechtigungen und suchen Sie den Abschnitt Mitglieder mit Zugriff auf dieses Dienstkonto.

  5. Wählen Sie ein Mitglied aus, dem Sie eine Rolle zuweisen möchten:

    • Wenn Sie einem vorhandenen Mitglied eine Rolle zuweisen möchten, suchen Sie die Zeile mit der E-Mail-Adresse des Mitglieds, klicken Sie auf Mitglied bearbeiten in dieser Zeile und klicken Sie dann auf Weitere Rolle hinzufügen.

      Wenn Sie einem von Google verwalteten Dienstkonto eine Rolle zuweisen möchten, müssen Sie das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen anklicken, um die entsprechende E-Mail-Adresse zu sehen.

    • Wenn Sie einem neuen Mitglied eine Rolle zuweisen möchten, klicken Sie auf Zugriff gewähren und geben Sie dann die E-Mail-Adresse des Mitglieds ein.

  6. Wählen Sie eine Rolle aus der Drop-down-Liste aus. Wählen Sie für Best Practices für die Sicherheit eine Rolle aus, die nur die Berechtigungen enthält, die Ihr Mitglied benötigt.

  7. Optional: Fügen Sie der Rolle eine Bedingung hinzu.

  8. Klicken Sie auf Speichern. Dem Mitglied wird die Rolle für das Dienstkonto zugewiesen.

gcloud

Wenn Sie einem Mitglied eine Rolle zuweisen möchten, führen Sie den Befehl add-iam-policy-binding aus:

gcloud iam service-accounts add-iam-policy-binding SA_ID \
    --member=MEMBER --role=ROLE_ID \
    --condition=CONDITION

Geben Sie folgende Werte an:

  • SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

  • MEMBER: Die Kennung für das Mitglied, in der Regel im Format MEMBER-TYPE:ID. Beispiel: user:my-user@example.com. Eine vollständige Liste der für MEMBER zulässigen Werte finden Sie in der Referenz zur Richtlinienbindung.

    Beim Mitgliedstyp user muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.

  • ROLE_ID: Der Name der Rolle, die Sie zuweisen möchten. Beispiel: roles/iam.serviceAccountUser. Eine Liste der Rollen finden Sie unter Informationen zu Rollen.

  • CONDITION: Optional. Die Bedingung, die der Rollenbindung hinzugefügt werden soll. Weitere Informationen zu Bedingungen finden Sie in der Übersicht der Bedingungen.

So gewähren Sie dem Nutzer my-user@example.com für das Dienstkonto my-service-account@my-project.iam.gserviceaccount.com beispielsweise die Rolle "Dienstkontonutzer":

gcloud iam service-accounts add-iam-policy-binding my-service-account@my-project.iam.gserviceaccount.com \
    --member=user:my-user@example.com --role=roles/iam.serviceAccountUser

Einzelne Rolle widerrufen

So widerrufen Sie eine einzelne Rolle eines Mitglieds:

Console

  1. Rufen Sie in der Cloud Console die Seite Dienstkonten auf.

    Zur Seite „Dienstkonten“

  2. Wählen Sie ein Projekt aus.

  3. Klicken Sie auf die E-Mail-Adresse des Dienstkontos.

  4. Wechseln Sie zum Tab Berechtigungen und suchen Sie den Abschnitt Mitglieder mit Zugriff auf dieses Dienstkonto.

  5. Suchen Sie die Zeile mit der E-Mail-Adresse des Mitglieds, dessen Zugriff Sie widerrufen möchten. Klicken Sie dann auf Mitglied bearbeiten in dieser Zeile.

  6. Klicken Sie für alle Rollen, die entzogen werden sollen, auf Löschen und dann auf Speichern.

gcloud

Wenn Sie einem Nutzer eine Rolle entziehen möchten, führen Sie den Befehl remove-iam-policy-binding aus:

gcloud iam service-accounts remove-iam-policy-binding SA_ID \
    --member=MEMBER --role=ROLE_ID

Geben Sie folgende Werte an:

  • SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

  • MEMBER: Die Kennung für das Mitglied, in der Regel im Format MEMBER-TYPE:ID. Beispiel: user:my-user@example.com. Eine vollständige Liste der für MEMBER zulässigen Werte finden Sie in der Referenz zur Richtlinienbindung.

    Beim Mitgliedstyp user muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.

  • ROLE_ID: Der Name der Rolle, die Sie aufheben möchten. Beispiel: roles/iam.serviceAccountUser. Eine Liste der Rollen finden Sie unter Informationen zu Rollen.

So widerrufen Sie z. B. die Rolle "Dienstkontonutzer" des Nutzers my-user@example.com für das Dienstkonto my-service-account@my-project.iam.gserviceaccount.com:

gcloud iam service-accounts remove-iam-policy-binding my-service-account@my-project.iam.gserviceaccount.com \
    --member=user:my-user@example.com --role=roles/iam.serviceAccountUser

Mehrere Rollen gewähren oder widerrufen

Um umfangreiche Zugriffsänderungen vorzunehmen, bei denen mehrere Rollen gewährt und widerrufen werden, verwenden Sie das Muster read-modify-write, um die IAM-Richtlinie des Dienstkontos zu aktualisieren:

  1. Aktuelle Richtlinie durch Aufrufen von getIamPolicy() lesen.
  2. Zurückgegebene Richtlinie entweder mithilfe eines Texteditors oder programmatisch bearbeiten, um Mitglieder oder Rollenbindungen hinzuzufügen oder zu entfernen.
  3. Aktualisierte Richtlinie durch Aufrufen von setIamPolicy() schreiben.

In diesem Abschnitt wird gezeigt, wie Sie mit dem gcloud-Tool und der REST API die Richtlinie aktualisieren. Sie können die Richtlinie auch mit den IAM-Clientbibliotheken aktualisieren.

Aktuelle Richtlinie abrufen

gcloud

Um die IAM-Richtlinie für das Dienstkonto abzurufen, führen Sie den Befehl get-iam-policy für das Dienstkonto aus:

gcloud iam service-accounts get-iam-policy SA_ID --format=FORMAT > PATH

Geben Sie folgende Werte an:

  • SA_ID: Die ID Ihres Dienstkontos. Dies kann die E-Mail-Adresse des Dienstkontos sein.
  • FORMAT: Das gewünschte Format für die Richtlinie. Verwenden Sie json oder yaml.
  • PATH: Pfad zu einer neuen Ausgabedatei für die Richtlinie.

Mit dem folgenden Befehl wird beispielsweise die Richtlinie für das Dienstkonto my-service-account abgerufen und im JSON-Format in Ihrem Basisverzeichnis gespeichert:

gcloud iam service-accounts get-iam-policy my-service-account --format json > ~/policy.json

REST

Die Methode serviceAccounts.getIamPolicy ruft die IAM-Richtlinie eines Dienstkontos ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

  • POLICY_VERSION: Die Richtlinienversion, die zurückgegeben werden soll. Anfragen sollten die neueste Richtlinienversion angeben. Diese ist Richtlinienversion 3. Weitere Informationen finden Sie unter Richtlinienversion beim Abrufen einer Richtlinie festlegen.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy

JSON-Text anfordern:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die IAM-Richtlinie des Dienstkontos. Beispiel:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}

Speichern Sie die Antwort in einer Datei des entsprechenden Typs (json oder yaml).

Richtlinie ändern

Passen Sie die lokale Kopie der Richtlinie Ihres Dienstkontos programmatisch mithilfe eines Texteditors so an, dass sie die Rollen widerspiegelt, die Sie bestimmten Nutzern gewähren oder entziehen möchten.

Bearbeiten Sie das Feld etag der Richtlinie nicht und entfernen Sie es nicht, um sicherzustellen, dass Sie keine anderen Richtlinienänderungen überschreiben. Das Feld etag gibt den aktuellen Richtlinienstatus an. Wenn Sie die aktualisierte Richtlinie festlegen, vergleicht IAM den etag-Wert in der Anfrage mit dem vorhandenen etag und schreibt die Richtlinie nur, wenn die Werte übereinstimmen.

Rolle zuweisen

Ändern Sie die Rollenbindungen in der Richtlinie, um Ihren Mitgliedern Rollen zuzuweisen. Informationen zu den Rollen, die Sie zuweisen können, finden Sie unter Informationen zu Rollen oder Zuweisbare Rollen anzeigen für das Dienstkonto.

Um eine Rolle zuzuweisen, die bereits in der Richtlinie enthalten ist, fügen Sie das Mitglied einer vorhandenen Rollenbindung hinzu:

gcloud

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie das Mitglied einer vorhandenen Rollenbindung hinzufügen. Beachten Sie, dass diese Richtlinienänderung erst wirksam wird, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Angenommen, die zurückgegebene Richtlinie enthält die folgende Rollenbindung, die kai@example.com die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) zuweist:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com"
  ]
}

Fügen Sie raha@example.com der vorhandenen Rollenbindung hinzu, um raha@example.com dieselbe Rolle zuzuweisen:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

REST

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie das Mitglied einer vorhandenen Rollenbindung hinzufügen. Beachten Sie, dass diese Richtlinienänderung erst wirksam wird, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Angenommen, die zurückgegebene Richtlinie enthält die folgende Rollenbindung, die kai@example.com die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) zuweist:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com"
  ]
}

Fügen Sie raha@example.com der vorhandenen Rollenbindung hinzu, um raha@example.com dieselbe Rolle zuzuweisen:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

Fügen Sie eine neue Rollenbindung hinzu, um eine Rolle zuzuweisen, die in der Richtlinie noch nicht enthalten ist.

gcloud

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie eine neue Rollenbindung hinzufügen, die dem Mitglied die Rolle zuweist. Die Richtlinienänderung tritt erst in Kraft, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Beispiel: Fügen Sie dem Array bindings für die Richtlinie die folgende Rollenbindung hinzu, um raha@example.com die Rolle "Ersteller von Dienstkonto-Tokens" (roles/iam.serviceAccountTokenCreator) zuzuweisen:

{
  "role": "roles/iam.serviceAccountTokenCreator",
  "members": [
    "user:raha@example.com"
  ]
}

REST

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie eine neue Rollenbindung hinzufügen, die dem Mitglied die Rolle zuweist. Die Richtlinienänderung tritt erst in Kraft, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Beispiel: Fügen Sie dem Array bindings für die Richtlinie die folgende Rollenbindung hinzu, um raha@example.com die Rolle "Ersteller von Dienstkonto-Tokens" (roles/iam.serviceAccountTokenCreator) zuzuweisen:

{
  "role": "roles/iam.serviceAccountTokenCreator",
  "members": [
    "user:raha@example.com"
  ]
}

Rolle entziehen

Um eine Rolle zu entziehen, entfernen Sie das Mitglied aus der Rollenbindung. Wenn das Mitglied das einzige Mitglied in der Rollenbindung ist, entfernen Sie die gesamte Rollenbindung aus der Richtlinie.

gcloud

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie das Mitglied oder die gesamte Rollenbindung entfernen. Die Richtlinienänderung tritt erst in Kraft, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Angenommen, die zurückgegebene Richtlinie enthält die folgende Rollenbindung, die kai@example.com und raha@example.com die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) zuweist:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

Entfernen Sie kai@example.com aus der Rollenbindung, um die Rolle von kai@example.com zu widerrufen:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:raha@example.com"
  ]
}

Wenn Sie die Rolle sowohl für kai@example.com als auch für raha@example.com widerrufen möchten, entfernen Sie die Rollenbindung aus der Richtlinie.

REST

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie das Mitglied oder die gesamte Rollenbindung entfernen. Die Richtlinienänderung tritt erst in Kraft, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Angenommen, die zurückgegebene Richtlinie enthält die folgende Rollenbindung, die kai@example.com und raha@example.com die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) zuweist:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

Entfernen Sie kai@example.com aus der Rollenbindung, um die Rolle von kai@example.com zu widerrufen:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:raha@example.com"
  ]
}

Wenn Sie die Rolle sowohl für kai@example.com als auch für raha@example.com widerrufen möchten, entfernen Sie die Rollenbindung aus der Richtlinie.

Richtlinie festlegen

Nachdem Sie die Richtlinie geändert haben, um die gewünschten Rollen zuzuweisen und zu widerrufen, rufen Sie setIamPolicy() auf, um Aktualisierungen vorzunehmen.

gcloud

Führen Sie zum Festlegen der IAM-Richtlinie für die Ressource den Befehl set-iam-policy für das Dienstkonto aus:

gcloud iam service-accounts set-iam-policy SA_ID PATH

Geben Sie folgende Werte an:

  • SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

  • PATH: Der Pfad zu einer Datei, die die neue Richtlinie enthält.

Die Antwort enthält die aktualisierte Richtlinie.

Mit dem folgenden Befehl wird beispielsweise die in policy.json gespeicherte Richtlinie als Richtlinie für das Dienstkonto my-service-account@my- project.iam.gserviceaccount.com festgelegt:

gcloud iam service-accounts set-iam-policy my-service-account@my-project.iam.gserviceaccount.com \
    ~/policy.json

REST

Die Methode serviceAccounts.setIamPolicy legt eine aktualisierte IAM-Richtlinie für das Dienstkonto fest.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
  • SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

  • POLICY: Eine JSON-Darstellung der Richtlinie, die Sie festlegen möchten. Weitere Informationen zum Format einer Richtlinie finden Sie in der Richtlinienreferenz.

    Zum Festlegen der im vorherigen Schritt angezeigten Richtlinie ersetzen Sie beispielsweise policy durch Folgendes:

    {
      "version": 1,
      "etag": "BwUqLaVeua8=",
      "bindings": [
        {
          "role": "roles/iam.serviceAccountUser",
          "members": [
            "user:robin@example.com"
          ]
        },
        {
          "role": "roles/serviceAccountAdmin",
          "members": [
            "user:admin@example.com"
          ]
        }
      ]
    }
    

HTTP-Methode und URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:setIamPolicy

JSON-Text anfordern:

{
  "policy": POLICY
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die aktualisierte Richtlinie.

Nächste Schritte

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis zu prüfen und zu bewerten. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten