Zugriff auf Dienstkonten verwalten

Auf dieser Seite wird beschrieben, wie Sie den Zugriff eines Hauptkontos auf ein einzelnes Dienstkonto gewähren, ändern und widerrufen. Um den Zugriff eines Hauptkontos auf alle Dienstkonten in einem Projekt, Ordner oder einer Organisation zu verwalten, verwalten Sie den Zugriff auf Projekt-, Ordner- oder Organisationsebene.

In der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) wird der Zugriff über „allow”-Richtlinien (auch als IAM-Richtlinien bezeichnet) verwaltet. Eine „allow”-Richtlinie ist mit einer Google Cloud-Ressource verknüpft. Jede Richtlinie enthält eine Sammlung von Rollenbindungen, die ein oder mehrere Hauptkonten, z. B. Nutzer oder Dienstkonten, mit einer IAM-Rolle verknüpfen. Diese Rollenbindungen gewähren den Hauptkonten die angegebenen Rollen sowohl für die Ressource, mit der die „allow”-Richtlinie verbunden ist, als auch für alle Nachfolgerelemente der Ressource. Weitere Informationen zu „allow”-Richtlinien finden Sie unter „allow”-Richtlinien.

Dienstkonten sind sowohl Ressourcen, auf die andere Hauptkonten Zugriff erhalten können, als auch Hauptkonten, denen Zugriff auf andere Ressourcen gewährt werden kann. Auf dieser Seite werden Dienstkonten als Ressourcen behandelt und es wird beschrieben, wie Sie anderen Hauptkonten Zugriff darauf gewähren. In den folgenden Anleitungen wird beschrieben, wie Sie einem Dienstkonto Zugriff auf andere Ressourcen gewähren:

Informationen zum Gewähren des Zugriffs auf ein Projekt, einen Ordner oder eine Organisation für ein Dienstkonto finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Wie Sie einem Dienstkonto Zugriff auf andere Ressourcen gewähren, erfahren Sie unter Zugriff auf andere Ressourcen verwalten.

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Dienstkonten mithilfe der Google Cloud Console, des Google Cloud CLI und der REST API verwalten. Sie können den Zugriff auch mithilfe von IAM-Clientbibliotheken verwalten.

Hinweis

IAM API aktivieren.
Aktivieren Sie die API
Weitere Informationen zu Dienstkonten

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Dienstkonto-Administrator (roles/iam.serviceAccountAdmin) für das Dienstkonto oder das Projekt, dem das Dienstkonto gehört, zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten des Zugriffs auf ein Dienstkonto benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten des Zugriffs auf ein Dienstkonto erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um den Zugriff auf ein Dienstkonto zu verwalten:

iam.serviceAccounts.get
iam.serviceAccounts.list
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.setIamPolicy

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Aktuellen Zugriff ansehen

Im folgenden Abschnitt erfahren Sie, wie Sie sich mit der Google Cloud Console, der gcloud CLI und der REST API den Zugriff auf ein Dienstkonto ansehen. Sie können den Zugriff auch mithilfe der IAM-Clientbibliotheken einsehen, um die Zulassungsrichtlinie des Dienstkontos abzurufen.

Console

Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.

Zur Seite „Dienstkonten“
Wählen Sie ein Projekt aus.
Klicken Sie auf die E-Mail-Adresse des Dienstkontos.
Wechseln Sie zum Tab Berechtigungen. Im Abschnitt Hauptkonten mit Zugriff auf dieses Dienstkonto werden alle Hauptkonten aufgelistet, denen eine Rolle für das Dienstkonto zugewiesen wurde.

Diese Liste enthält Hauptkonten, deren Zugriff von Rollen stammt, die für übergeordnete Ressourcen gewährt wurden. Weitere Informationen zur Richtlinienübernahme finden Sie unter Richtlinienübernahme und die Ressourcenhierarchie.
Optional: Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen, um Rollenzuweisungen für von Google verwaltete Dienstkonten aufzurufen.

gcloud

Wenn Sie sehen möchten, wer Zugriff auf Ihr Dienstkonto hat, rufen Sie die Zulassungsrichtlinie für das Dienstkonto ab. Informationen zum Interpretieren von „allow”-Richtlinien finden Sie unter Informationen zu „allow”-Richtlinien.

Um die Zulassungsrichtlinie für das Dienstkonto abzurufen, führen Sie den Befehl get-iam-policy für das Dienstkonto aus:

gcloud iam service-accounts get-iam-policy SA_ID --format=FORMAT > PATH

Geben Sie folgende Werte an:

SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

Hinweis: Wenn Sie ein Dienstkonto unmittelbar nach seiner Erstellung identifizieren möchten, verwenden Sie die numerische ID anstelle der E-Mail-Adresse, um sicherzustellen, dass es zuverlässig identifiziert wird.
FORMAT: Das gewünschte Format für die Richtlinie. Verwenden Sie json oder yaml.
PATH: Pfad zu einer neuen Ausgabedatei für die Richtlinie.

Mit dem folgenden Befehl wird beispielsweise die Richtlinie für das Dienstkonto my-service-account abgerufen und im JSON-Format in Ihrem Basisverzeichnis gespeichert:

gcloud iam service-accounts get-iam-policy my-service-account --format json > ~/policy.json

REST

Die Methode serviceAccounts.getIamPolicy ruft die „allow”-Richtlinie eines Dienstkontos ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.
Hinweis: Wenn Sie ein Dienstkonto unmittelbar nach seiner Erstellung identifizieren möchten, verwenden Sie die numerische ID anstelle der E-Mail-Adresse.
POLICY_VERSION: Die Richtlinienversion, die zurückgegeben werden soll. Anfragen sollten die neueste Richtlinienversion angeben. Diese ist Richtlinienversion 3. Weitere Informationen finden Sie unter Richtlinienversion beim Abrufen einer Richtlinie festlegen.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy

JSON-Text anfordern:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud CLI angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch in der gcloud CLI anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy" | Select-Object -Expand Content

APIs Explorer (Browser)

Kopieren Sie den Anfragetext und öffnen Sie die Referenzseite für Methoden. Der API Explorer wird rechts auf der Seite geöffnet. Sie können mit diesem Tool interagieren, um Anfragen zu senden. Fügen Sie den Anfragetext in dieses Tool ein, füllen Sie alle Pflichtfelder aus und klicken Sie auf Ausführen.

Die Antwort enthält die Zulassungsrichtlinie des Dienstkontos. Beispiel:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}

Einzelne Rolle gewähren oder widerrufen

Sie können die Google Cloud Console und die gcloud CLI verwenden, um für ein einzelnes Hauptkonto schnell eine einzelne Rolle zuzuweisen oder zu widerrufen, ohne die Zulassungsrichtlinie des Dienstkontos direkt zu bearbeiten. Zu den gängigen Typen von Hauptkonten zählen Google-Konten, Dienstkonten, Google-Gruppen und Domains. Eine Liste der Typen von Hauptkonten finden Sie unter Konzepte in Verbindung mit Identität.

Hilfe bei der Ermittlung der am besten geeigneten vordefinierten Rolle finden Sie unter Vordefinierte Rollen auswählen.

Einzelne Rolle gewähren

So weisen Sie einem Hauptkonto eine einzelne Rolle zu:

Console

Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.

Zur Seite „Dienstkonten“
Wählen Sie ein Projekt aus.
Klicken Sie auf die E-Mail-Adresse des Dienstkontos.
Wechseln Sie zum Tab Berechtigungen und suchen Sie den Abschnitt Hauptkonten mit Zugriff auf dieses Dienstkonto.
Wählen Sie ein Hauptkonto aus, um in folgenden Fällen eine Rolle zuzuweisen:
- Wenn Sie eine Rolle einem Hauptkonto zuweisen möchten, das bereits andere Rollen für das Dienstkonto hat, suchen Sie nach einer Zeile, die das Hauptkonto enthält, klicken Sie in der Zeile auf Hauptkonto bearbeiten und klicken Sie dann auf Weitere Rolle hinzufügen.
  
  Wenn Sie einem von Google verwalteten Dienstkonto eine Rolle zuweisen möchten, müssen Sie das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen anklicken, um die entsprechende E-Mail-Adresse zu sehen.
  
  Hinweis: Übernommene Rollen können beim Verwalten des Zugriffs auf Dienstkonten nicht bearbeitet werden. Zur Bearbeitung übernommener Rollen rufen Sie die Ressource auf, der die Rolle zugewiesen wurde.
- Wenn Sie eine Rolle für ein Hauptkonto zuweisen möchten, das noch keine Rollen für das Dienstkonto hat, klicken Sie auf Zugriff gewähren und geben Sie dann die E-Mail-Adresse oder eine andere Kennung des Hauptkontos ein.
Wählen Sie eine Rolle aus der Drop-down-Liste aus. Wählen Sie als Best Practice für die Sicherheit eine Rolle aus, die nur die Berechtigungen enthält, die das Hauptkonto benötigt.
Optional: Fügen Sie der Rolle eine Bedingung hinzu.
Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle für das Dienstkonto zugewiesen.

gcloud

Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, führen Sie den Befehl add-iam-policy-binding aus:

gcloud iam service-accounts add-iam-policy-binding SA_ID \
    --member=PRINCIPAL --role=ROLE_NAME \
    --condition=CONDITION

Geben Sie folgende Werte an:

SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

Hinweis: Wenn Sie ein Dienstkonto unmittelbar nach seiner Erstellung identifizieren möchten, verwenden Sie die numerische ID anstelle der E-Mail-Adresse, um sicherzustellen, dass es zuverlässig identifiziert wird.
PRINCIPAL: Eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL-TYPE:ID. Beispiel: user:my-user@example.com. Eine vollständige Liste der für PRINCIPAL zulässigen Werte finden Sie in der Referenz zur Richtlinienbindung.

Beim Hauptkontotyp user muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.
ROLE_NAME: Der Name der Rolle, die Sie zuweisen möchten. Verwenden Sie eines der folgenden Formate:
- Vordefinierte Rollen: roles/SERVICE.IDENTIFIER
- Benutzerdefinierte Rollen auf Projektebene: projects/PROJECT_ID/roles/IDENTIFIER
- Benutzerdefinierte Rollen auf Organisationsebene: organizations/ORG_ID/roles/IDENTIFIER
Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.
CONDITION: Optional. Die Bedingung, die der Rollenbindung hinzugefügt werden soll. Weitere Informationen zu Bedingungen finden Sie in der Übersicht der Bedingungen.

So gewähren Sie dem Nutzer my-user@example.com für das Dienstkonto my-service-account@my-project.iam.gserviceaccount.com beispielsweise die Rolle "Dienstkontonutzer":

gcloud iam service-accounts add-iam-policy-binding my-service-account@my-project.iam.gserviceaccount.com \
    --member=user:my-user@example.com --role=roles/iam.serviceAccountUser

Einzelne Rolle widerrufen

So widerrufen Sie eine einzelne Rolle eines Hauptkontos:

Console

Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.

Zur Seite „Dienstkonten“
Wählen Sie ein Projekt aus.
Klicken Sie auf die E-Mail-Adresse des Dienstkontos.
Wechseln Sie zum Tab Berechtigungen und suchen Sie den Abschnitt Hauptkonten mit Zugriff auf dieses Dienstkonto.
Suchen Sie die Zeile mit der E-Mail-Adresse des Hauptkontos, dessen Zugriff Sie widerrufen möchten. Klicken Sie dann auf Hauptkonto bearbeiten in dieser Zeile.

Hinweis: Übernommene Rollen können beim Verwalten des Zugriffs auf Dienstkonten nicht bearbeitet werden. Zur Bearbeitung übernommener Rollen rufen Sie die Ressource auf, der die Rolle zugewiesen wurde.
Klicken Sie für die Rolle, die Sie aufheben möchten, auf die Schaltfläche Löschen und dann auf Speichern.

gcloud

Wenn Sie einem Nutzer eine Rolle entziehen möchten, führen Sie den Befehl remove-iam-policy-binding aus:

gcloud iam service-accounts remove-iam-policy-binding SA_ID \
    --member=PRINCIPAL --role=ROLE_NAME

Geben Sie folgende Werte an:

SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

Hinweis: Wenn Sie ein Dienstkonto unmittelbar nach seiner Erstellung identifizieren möchten, verwenden Sie die numerische ID anstelle der E-Mail-Adresse, um sicherzustellen, dass es zuverlässig identifiziert wird.
PRINCIPAL: Eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat: PRINCIPAL-TYPE:ID. Beispiel: user:my-user@example.com. Eine vollständige Liste der für PRINCIPAL zulässigen Werte finden Sie in der Referenz zur Richtlinienbindung.

Beim Hauptkontotyp user muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.
ROLE_NAME: Der Name der Rolle, die Sie aufheben möchten. Verwenden Sie eines der folgenden Formate:
- Vordefinierte Rollen: roles/SERVICE.IDENTIFIER
- Benutzerdefinierte Rollen auf Projektebene: projects/PROJECT_ID/roles/IDENTIFIER
- Benutzerdefinierte Rollen auf Organisationsebene: organizations/ORG_ID/roles/IDENTIFIER
Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.

So widerrufen Sie z. B. die Rolle "Dienstkontonutzer" des Nutzers my-user@example.com für das Dienstkonto my-service-account@my-project.iam.gserviceaccount.com:

gcloud iam service-accounts remove-iam-policy-binding my-service-account@my-project.iam.gserviceaccount.com \
    --member=user:my-user@example.com --role=roles/iam.serviceAccountUser

Mehrere Rollen mithilfe der Google Cloud Console gewähren oder entziehen

In der Google Cloud Console können Sie für ein einzelnes Hauptkonto mehrere Rollen zuweisen und widerrufen:

Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf.

Zur Seite „Dienstkonten“
Wählen Sie ein Projekt aus.
Klicken Sie auf die E-Mail-Adresse des Dienstkontos.
Wechseln Sie zum Tab Berechtigungen und suchen Sie den Abschnitt Hauptkonten mit Zugriff auf dieses Dienstkonto.
Wählen Sie das Hauptkonto aus, dessen Rollen Sie ändern möchten:
- Wenn Sie Rollen für ein Hauptkonto ändern möchten, das bereits Rollen für das Dienstkonto hat, suchen Sie die Zeile mit dem Hauptkonto und klicken Sie in dieser Zeile auf Hauptkonto bearbeiten. Klicken Sie dann auf Weitere Rolle hinzufügen.
  
  Wenn Sie Rollen für ein von Google verwaltetes Dienstkonto ändern möchten, klicken Sie das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen an, um die entsprechende E-Mail-Adresse zu sehen.
  
  Hinweis: Übernommene Rollen können beim Verwalten des Zugriffs auf Dienstkonten nicht bearbeitet werden. Zur Bearbeitung übernommener Rollen rufen Sie die Ressource auf, der die Rolle zugewiesen wurde.
- Wenn Sie Rollen für ein Hauptkonto zuweisen möchten, das noch keine Rollen für das Dienstkonto hat, klicken Sie auf Zugriff gewähren und geben Sie dann die E-Mail-Adresse oder eine andere Kennung des Hauptkontos ein.
Ändern Sie die Rollen des Hauptkontos:
- Wenn Sie eine Rolle für ein Hauptkonto zuweisen möchten, das noch keine Rollen für die Ressource hat, klicken Sie auf Rolle auswählen und wählen Sie eine Rolle aus der Drop-down-Liste aus.
- Wenn Sie dem Hauptkonto eine zusätzliche Rolle zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und wählen Sie in der Drop-down-Liste eine Rolle aus.
- Wenn Sie eine der Rollen des Hauptkontos durch eine andere Rolle ersetzen möchten, klicken Sie auf die vorhandene Rolle und wählen Sie dann eine andere Rolle aus der Drop-down-Liste aus.
- Wenn Sie eine der Rollen des Hauptkontos widerrufen möchten, klicken Sie für jede Rolle, die Sie widerrufen möchten, auf die Schaltfläche Löschen .
Sie können auch eine Bedingung hinzufügen, die Bedingung einer Rolle ändern oder die Bedingung einer Rolle entfernen.
Klicken Sie auf Speichern.

Mehrere Rollen programmatisch zuweisen oder widerrufen

Um umfangreiche Zugriffsänderungen vorzunehmen, bei denen mehrere Rollen für mehrere Hauptkonten zugewiesen und widerrufen werden, verwenden Sie das Muster read-modify-write, um die Zulassungsrichtlinie des Dienstkontos zu aktualisieren:

Lesen Sie die aktuelle Zulassungsrichtlinie, indem Sie getIamPolicy() aufrufen.
Zulassungsrichtlinie entweder mithilfe eines Texteditors oder programmatisch bearbeiten, um Hauptkonten oder Rollenbindungen hinzuzufügen oder zu entfernen.
Schreiben Sie die aktualisierte Zulassungsrichtlinie durch Aufrufen von setIamPolicy().

In diesem Abschnitt wird gezeigt, wie Sie mit der gcloud CLI und der REST API die Zulassungsrichtlinie aktualisieren. Sie können die Zulassungsrichtlinie auch mit den IAM-Clientbibliotheken aktualisieren.

Aktuelle Zulassungsrichtlinie abrufen

gcloud

Um die Zulassungsrichtlinie für das Dienstkonto abzurufen, führen Sie den Befehl get-iam-policy für das Dienstkonto aus:

gcloud iam service-accounts get-iam-policy SA_ID --format=FORMAT > PATH

Geben Sie folgende Werte an:

SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

Hinweis: Wenn Sie ein Dienstkonto unmittelbar nach seiner Erstellung identifizieren möchten, verwenden Sie die numerische ID anstelle der E-Mail-Adresse, um sicherzustellen, dass es zuverlässig identifiziert wird.
FORMAT: Das gewünschte Format für die Zulassungsrichtlinie. Verwenden Sie json oder yaml.
PATH: Den Pfad zu einer neuen Ausgabedatei für die Zulassungsrichtlinie.

Mit dem folgenden Befehl wird beispielsweise die Zulassungsrichtlinie für das Dienstkonto my-service-account abgerufen und im JSON-Format in Ihrem Basisverzeichnis gespeichert:

gcloud iam service-accounts get-iam-policy my-service-account --format json > ~/policy.json

REST

Die Methode serviceAccounts.getIamPolicy ruft die „allow”-Richtlinie eines Dienstkontos ab.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.
Hinweis: Wenn Sie ein Dienstkonto unmittelbar nach seiner Erstellung identifizieren möchten, verwenden Sie die numerische ID anstelle der E-Mail-Adresse.
POLICY_VERSION: Die Richtlinienversion, die zurückgegeben werden soll. Anfragen sollten die neueste Richtlinienversion angeben. Diese ist Richtlinienversion 3. Weitere Informationen finden Sie unter Richtlinienversion beim Abrufen einer Richtlinie festlegen.

HTTP-Methode und URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy

JSON-Text anfordern:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:getIamPolicy" | Select-Object -Expand Content

APIs Explorer (Browser)

Die Antwort enthält die Zulassungsrichtlinie des Dienstkontos. Beispiel:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}

Speichern Sie die Antwort in einer Datei des entsprechenden Typs (json oder yaml).

Ändern Sie die Zulassungsrichtlinie

Passen Sie die lokale Kopie der Zulassungsrichtlinie Ihres Dienstkontos programmatisch oder mit einem Texteditor an die Rollen an, die Sie bestimmten Nutzern gewähren oder entziehen möchten.

Bearbeiten Sie das Feld etag der Zulassungsrichtlinie nicht und entfernen Sie es nicht, um sicherzustellen, dass Sie keine anderen Richtlinienänderungen überschreiben. Das Feld etag gibt den aktuellen Zustand der Zulassungsrichtlinie an. Wenn Sie die aktualisierte Zulassungsrichtlinie festlegen, vergleicht IAM den etag-Wert in der Anfrage mit dem vorhandenen etag und schreibt die Zulassungsrichtlinie nur, wenn die Werte übereinstimmen.

Zum Bearbeiten der Rollen, die eine Zulassungsrichtlinie gewährt, müssen Sie die Rollenbindungen in der Zulassungsrichtlinie bearbeiten. Rollenbindungen haben das folgende Format:

{
  "role": "ROLE_NAME",
  "members": [
    "PRINCIPAL_1",
    "PRINCIPAL_2",
    ...
    "PRINCIPAL_N"
  ],
  "conditions:" {
    CONDITIONS
  }
}

Die Platzhalter haben folgende Werte:

ROLE_NAME: Der Name der Rolle, die Sie zuweisen möchten. Verwenden Sie eines der folgenden Formate:
- Vordefinierte Rollen: roles/SERVICE.IDENTIFIER
- Benutzerdefinierte Rollen auf Projektebene: projects/PROJECT_ID/roles/IDENTIFIER
- Benutzerdefinierte Rollen auf Organisationsebene: organizations/ORG_ID/roles/IDENTIFIER
Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.
PRINCIPAL_1, PRINCIPAL_2, ...PRINCIPAL_N: Kennzeichnungen für die Hauptkonten, denen Sie die Rolle zuweisen möchten.

Hauptkonto-Kennzeichnungen haben normalerweise das folgende Format: PRINCIPAL-TYPE:ID. Beispiel: user:my-user@example.com Eine vollständige Liste der für PRINCIPAL zulässigen Werte finden Sie in der Referenz zur Richtlinienbindung.

Beim Hauptkontotyp user muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.
CONDITIONS: Optional. Alle Bedingungen, die angeben, wann der Zugriff gewährt wird.

Rolle zuweisen

Ändern Sie die Rollenbindungen in der Zulassungsrichtlinie, um Ihren Hauptkonten Rollen zuzuweisen. Informationen zu den Rollen, die Sie zuweisen können, finden Sie unter Informationen zu Rollen oder Zuweisbare Rollen anzeigen für das Dienstkonto. Hilfe bei der Ermittlung der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.

Optional können Sie Bedingungen zum Zuweisen von Rollen verwenden, wenn bestimmte Anforderungen erfüllt sein müssen.

Um eine Rolle zuzuweisen, die bereits in der Zulassungsrichtlinie enthalten ist, fügen Sie das Hauptkonto einer vorhandenen Rollenbindung hinzu:

gcloud

Bearbeiten Sie die zurückgegebene Zulassungsrichtlinie, indem Sie das Hauptkonto einer vorhandenen Rollenbindung hinzufügen. Beachten Sie, dass diese Änderung erst wirksam wird, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.

Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die kai@example.com die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) zuweist:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com"
  ]
}

Fügen Sie raha@example.com zur vorhandenen Rollenbindung hinzu, um raha@example.com dieselbe Rolle zuzuweisen:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

REST

Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die kai@example.com die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) zuweist:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com"
  ]
}

Fügen Sie raha@example.com zur vorhandenen Rollenbindung hinzu, um raha@example.com dieselbe Rolle zuzuweisen:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

Fügen Sie eine neue Rollenbindung hinzu, um eine Rolle zuzuweisen, die in der Zulassungsrichtlinie noch nicht enthalten ist.

gcloud

Bearbeiten Sie die Zulassungsrichtlinie, indem Sie eine neue Rollenbindung hinzufügen, die dem Hauptkonto die Rolle zuweist. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.

Beispiel: Fügen Sie dem Array bindings für die Zulassungsrichtlinie die folgende Rollenbindung hinzu, um raha@example.com die Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator) zuzuweisen:

{
  "role": "roles/iam.serviceAccountTokenCreator",
  "members": [
    "user:raha@example.com"
  ]
}

REST

{
  "role": "roles/iam.serviceAccountTokenCreator",
  "members": [
    "user:raha@example.com"
  ]
}

Rolle entziehen

Um eine Rolle zu entziehen, entfernen Sie das Hauptkonto aus der Rollenbindung. Wenn die Rollenbindung keine anderen Hauptkonten enthält, entfernen Sie die gesamte Rollenbindung aus der Zulassungsrichtlinie.

gcloud

Bearbeiten Sie die Zulassungsrichtlinie, indem Sie das Hauptkonto oder die gesamte Rollenbindung entfernen. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.

Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die kai@example.com und raha@example.com die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) zuweist:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

Entfernen Sie kai@example.com aus der Rollenbindung, um die Rolle von kai@example.com zu widerrufen:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:raha@example.com"
  ]
}

Wenn Sie die Rolle sowohl für kai@example.com als auch für raha@example.com widerrufen möchten, entfernen Sie die Rollenbindung aus der Zulassungsrichtlinie.

REST

Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die kai@example.com und raha@example.com die Rolle „Dienstkontonutzer“ (roles/iam.serviceAccountUser) zuweist:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

Entfernen Sie kai@example.com aus der Rollenbindung, um die Rolle von kai@example.com zu widerrufen:

{
  "role": "roles/iam.serviceAccountUser",
  "members": [
    "user:raha@example.com"
  ]
}

Wenn Sie die Rolle sowohl für kai@example.com als auch für raha@example.com widerrufen möchten, entfernen Sie die Rollenbindung aus der Zulassungsrichtlinie.

Zulassungsrichtlinie festlegen

Nachdem Sie die Zulassungsrichtlinie geändert haben, um die gewünschten Rollen zuzuweisen und zu widerrufen, rufen Sie setIamPolicy() auf, um Aktualisierungen vorzunehmen.

gcloud

Führen Sie zum Festlegen der Richtlinie für die Ressource den Befehl set-iam-policy für das Dienstkonto aus:

gcloud iam service-accounts set-iam-policy SA_ID PATH

Geben Sie folgende Werte an:

SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.

Hinweis: Wenn Sie ein Dienstkonto unmittelbar nach seiner Erstellung identifizieren möchten, verwenden Sie die numerische ID anstelle der E-Mail-Adresse, um sicherzustellen, dass es zuverlässig identifiziert wird.
PATH: Der Pfad zu einer Datei, die die neue Zulassungsrichtlinie enthält.

Die Antwort enthält die aktualisierte Zulassungsrichtlinie:

Mit dem folgenden Befehl wird beispielsweise die in policy.json gespeicherte Zulassungsrichtlinie als Zulassungsrichtlinie für das Dienstkonto my-service-account@my-project.iam.gserviceaccount.com festgelegt:

gcloud iam service-accounts set-iam-policy my-service-account@my-project.iam.gserviceaccount.com \
    ~/policy.json

REST

Die Methode serviceAccounts.setIamPolicy legt eine aktualisierte Zulassungsrichtlinie für das Dienstkonto fest.

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: Ihre Google Cloud-Projekt-ID. Projekt-IDs sind alphanumerische Strings, wie my-project.
SA_ID: Die ID Ihres Dienstkontos. Dies kann entweder die E-Mail-Adresse des Dienstkontos im Format SA_NAME@PROJECT_ID.iam.gserviceaccount.com oder die eindeutige numerische ID des Dienstkontos sein.
Hinweis: Wenn Sie ein Dienstkonto unmittelbar nach seiner Erstellung identifizieren möchten, verwenden Sie die numerische ID anstelle der E-Mail-Adresse.

POLICY: Eine JSON-Darstellung der Richtlinie, die Sie festlegen möchten. Weitere Informationen zum Format einer Richtlinie finden Sie in der Richtlinienreferenz.

Zum Festlegen der im vorherigen Schritt angezeigten Zulassungsrichtlinie ersetzen Sie beispielsweise policy durch Folgendes:

{
  "version": 1,
  "etag": "BwUqLaVeua8=",
  "bindings": [
    {
      "role": "roles/iam.serviceAccountUser",
      "members": [
        "user:robin@example.com"
      ]
    },
    {
      "role": "roles/serviceAccountAdmin",
      "members": [
        "user:admin@example.com"
      ]
    }
  ]
}

HTTP-Methode und URL:

POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:setIamPolicy

JSON-Text anfordern:

{
  "policy": POLICY
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:setIamPolicy"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID:setIamPolicy" | Select-Object -Expand Content

APIs Explorer (Browser)

Die Antwort enthält die aktualisierte Zulassungsrichtlinie:

Nächste Schritte

Rollen zuweisen, die Hauptkonten die Authentifizierung als Dienstkonten ermöglichen
Geeignete vordefinierte Rollen auswählen
Informationen zur sicheren Verwendung von Dienstkonten finden Sie unter Best Practices für die Arbeit mit Dienstkonten.
Zugriff auf Projekte, Ordner und Organisationen verwalten
Zugriff auf andere Ressourcen verwalten (allgemein)
Informationen zum Erteilen des Zugriffs eines Hauptkontos mit bedingten Rollenbindungen

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten