Dienstkonten lassen sich in zwei Kategorien unterteilen: Dienstkonten, die Sie verwalten, und Dienstkonten, die von Google verwaltet werden. Auf dieser Seite wird beschrieben, wie die einzelnen Arten von Dienstkonten erstellt und verwendet werden.
Nutzerverwaltete Dienstkonten
Nutzerverwaltete Dienstkonten sind Dienstkonten, die Sie in Ihren Projekten erstellen. Sie können diese Dienstkonten nach Belieben aktualisieren, deaktivieren, aktivieren und löschen. Sie können auch den Zugriff anderer Hauptkonten auf diese Dienstkonten verwalten.
Sie können in Ihrem Projekt nutzerverwaltete Dienstkonten mit der IAM API, der Google Cloud Console oder der Google Cloud CLI erstellen.
Standardmäßig können Sie bis zu 100 Dienstkonten mit Nutzerverwaltung in einem Projekt erstellen. Wenn dieses Kontingent für Ihre Anforderungen nicht ausreicht, haben Sie die Möglichkeit, über die Cloud Console eine Kontingenterhöhung anzufordern. Auf dieses Kontingent werden nur von Nutzern erstellte Dienstkonten angerechnet, Standarddienstkonten und von Google verwaltete Dienstkonten nicht.
Wenn Sie in Ihrem Projekt ein nutzerverwaltetes Dienstkonto erstellen, müssen Sie einen Namen für das Dienstkonto festlegen. Dieser Name erscheint in der E-Mail-Adresse, die das Dienstkonto identifiziert. Diese hat folgendes Format:
service-account-name@project-id.iam.gserviceaccount.com
Informationen zum Erstellen eines Dienstkontos finden Sie unter Dienstkonten erstellen.
Standarddienstkonten
Standarddienstkonten sind nutzerverwaltete Dienstkonten, die automatisch erstellt werden, wenn Sie bestimmte Google Cloud-Dienste aktivieren oder verwenden. Mit diesen Dienstkonten kann der Dienst Jobs bereitstellen, die auf andere Google Cloud-Ressourcen zugreifen. Sie sind dafür verantwortlich, Standarddienstkonten nach ihrer Erstellung zu verwalten.
Wenn Ihre Anwendung in einer Google Cloud-Umgebung mit einem Standarddienstkonto ausgeführt wird, kann sie mit den Anmeldedaten für das Standarddienstkonto Google Cloud APIs aufrufen. Alternativ können Sie Ihr eigenes nutzerverwaltetes Dienstkonto erstellen und es zur Authentifizierung verwenden. Weitere Informationen finden Sie unter Standardanmeldedaten für Anwendungen einrichten.
In der folgenden Tabelle sind die Dienste aufgeführt, die Standarddienstkonten erstellen:
| Dienst | Name des Dienstkontos | E-Mail-Adresse |
|---|---|---|
| App Engine und alle Google Cloud-Dienste, die App Engine nutzen | App Engine-Standarddienstkonto | project-id@appspot.gserviceaccount.com |
| Compute Engine und alle Google Cloud-Dienste, die Compute Engine nutzen | Standardmäßiges Compute Engine-Dienstkonto |
project-number-compute@developer.gserviceaccount.com
|
Von Google verwaltete Dienstkonten
Einige Google Cloud-Dienste benötigen Zugriff auf Ihre Ressourcen, damit sie Aufgaben für Sie ausführen können. Wenn Sie beispielsweise einen Container mit Cloud Run ausführen, benötigt der Dienst Zugriff auf alle Pub/Sub-Themen, die den Container auslösen können.
Damit dies möglich ist, erstellt und verwaltet Google Dienstkonten für viele Google Cloud-Dienste. Diese Dienstkonten werden als von Google verwaltete Dienstkonten bezeichnet. Unter Umständen sehen Sie von Google verwaltete Dienstkonten in der Zulassungsrichtlinie Ihres Projekts, in Audit-Logs oder auf der IAM-Seite in der Cloud Console.
Von Google verwaltete Dienstkonten werden nicht in Ihren Projekten erstellt. Daher werden sie bei der Anzeige der Dienstkonten Ihrer Projekte nicht angezeigt.
Google bietet die folgenden Arten von von Google verwalteten Dienstkonten:
- Dienstspezifische Dienst-Agents
- Google APIs-Dienst-Agent
- Rollenmanager für von Google verwaltete Dienstkonten
Sichtbarkeit
Von Google verwaltete Dienstkonten werden in der Cloud Console auf der Seite Dienstkonten nicht aufgeführt. Diese Dienstkonten befinden sich nicht in Ihrem Projekt und Sie können nicht direkt darauf zugreifen.
Standardmäßig werden von Google verwaltete Dienstkonten auf der Seite IAM in der Google Cloud Console nicht aufgeführt, auch wenn ihnen in Ihrem Projekt eine Rolle zugewiesen wurde. Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen, um Rollenzuweisungen für von Google verwaltete Dienstkonten aufzurufen.
Dienstspezifische Dienst-Agents
Dienst-Agents sind von Google verwaltete Dienstkonten, die im Namen einzelner Dienste agieren. In vielen Fällen sind diese Dienst-Agents erforderlich, damit Dienste ordnungsgemäß funktionieren. Dienst-Agents ermöglichen es Cloud Logging-Senken beispielsweise, Logs in Cloud Storage-Buckets zu schreiben.
Jeder Dienst-Agent ist mit einer Ressource verknüpft. Diese Ressource ist normalerweise ein Projekt, ein Ordner oder eine Organisation. Es kann jedoch auch eine dienstspezifische Ressource sein, z. B. eine Cloud SQL-Instanz. Diese Ressource definiert den Bereich der Aktionen des Dienst-Agents. Wenn ein Dienst-Agent beispielsweise mit einem Projekt verknüpft ist, wird er im Namen eines Dienstes für das Projekt und seine untergeordneten Ressourcen agieren.
Ermitteln Sie anhand der E-Mail-Adresse, welchem Ressourcentyp ein Dienst-Agent zugeordnet ist:
- Wenn der Dienst-Agent mit einem Projekt, Ordner oder einer Organisation verknüpft ist, enthält die E-Mail-Adresse die numerische ID für dieses Projekt, diesen Ordner oder diese Organisation.
- Wenn der Dienst-Agent einer dienstspezifischen Ressource zugeordnet ist, enthält die E-Mail-Adresse eine numerische Projekt-ID und eine eindeutige Kennung. Die numerische Projekt-ID gibt an, welchem Projekt die Ressource gehört, mit der der Dienst-Agent verknüpft ist. Die eindeutige Kennung unterscheidet den Dienst-Agent von anderen ähnlichen Dienst-Agents im selben Projekt.
Dienst-Agent erstellen
Die genaue Zeit, zu der ein Dienst-Agent erstellt wird, hängt von der Art der Ressource ab, der er zugeordnet ist.
Dienst-Agents, die einer dienstspezifischen Ressource zugeordnet sind, werden beim Erstellen der Ressource erstellt. Weitere Informationen zum Identifizieren und Konfigurieren dieser Dienst-Agents finden Sie in der Dokumentation zur zugehörigen Ressource.
Dienst-Agents, die Projekten, Ordnern und Organisationen zugeordnet sind, werden nach Bedarf erstellt, in der Regel, wenn Sie einen Dienst zum ersten Mal verwenden. Bei Bedarf können Sie auch Google Cloud bitten, Dienst-Agents für einen Dienst zu erstellen, bevor Sie den Dienst verwenden. Weitere Informationen finden Sie unter Rollen erstellen und ihnen Dienst-Agents zuweisen.
Dienst-Agent-Rollen
Für einige Aktionen in Google Cloud müssen Dienst-Agents in Ihrem Namen Ressourcen erstellen und darauf zugreifen. Wenn Sie beispielsweise einen Dataproc-Cluster erstellen, benötigt der Dataproc-Dienst-Agent die Berechtigung, Compute Engine-Instanzen in Ihrem Projekt zu erstellen, um den Cluster zu erstellen.
Dienstzugriff-Agents benötigen bestimmte IAM-Rollen, um diesen Zugriff zu erhalten.
Viele Dienst-Agents auf Projektebene erhalten automatisch die Rollen, die sie benötigen. Die Namen dieser automatisch zugewiesenen Rollen enden normalerweise auf serviceAgent oder ServiceAgent. Anderen Dienst-Agents müssen Sie diese Rollen zuweisen, damit der Dienst ordnungsgemäß funktioniert. Informationen dazu, welchen Dienst-Agents automatisch Rollen zugewiesen werden, finden Sie in der Referenz zum Dienst-Agent.
Wenn Sie Google Cloud bitten, Dienst-Agents zu erstellen, bevor Sie einen Dienst verwenden, müssen Sie den Dienst-Agents die Rollen zuweisen, die ihnen normalerweise automatisch zugewiesen werden. Dies liegt daran, dass Dienst-Agents, die auf Anfrage eines Nutzers erstellt werden, nicht automatisch Rollen zugewiesen werden. Wenn Sie den Dienst-Agents diese Rollen nicht zuweisen, funktionieren einige Dienste möglicherweise nicht ordnungsgemäß. Informationen zum Zuweisen dieser Rollen für Dienst-Agents finden Sie unter Rollen erstellen und zuweisen.
Primäre Dienst-Agents
In der Referenz zum Dienst-Agent werden einige Dienst-Agents als primäre Dienst-Agents identifiziert. Primäre Dienst-Agents sind Dienst-Agents, deren E-Mail-Adresse zurückgegeben wird, wenn Sie für einen Dienst die Erstellung des Dienst-Agents auslösen.
Google APIs-Dienst-Agent
Die Zulassungsrichtlinie Ihres Projekts verweist wahrscheinlich auf ein Dienstkonto mit dem Namen des Google APIs-Dienst-Agents mit einer E-Mail-Adresse im folgenden Format: project-number@cloudservices.gserviceaccount.com.
Dieses Dienstkonto führt in Ihrem Namen interne Google-Prozesse aus. Es erhält automatisch die Rolle "Bearbeiter" (roles/editor) für das Projekt.
Rollenmanager für von Google verwaltete Dienstkonten
Ihre Audit-Logs für IAM beziehen sich möglicherweise auf das Dienstkonto service-agent-manager@system.gserviceaccount.com.
Dieses Dienstkonto verwaltet die Rollen, die Dienst-Agents zugewiesen sind. Es ist nur in Audit-Logs sichtbar.
Wenn Sie beispielsweise eine neue API verwenden, kann Google automatisch einen neuen Dienst-Agent erstellen und ihm in Ihrem Projekt Rollen zuweisen. Durch das Zuweisen dieser Rollen wird ein Audit-Logeintrag generiert, aus dem hervorgeht, dass service-agent-manager@system.gserviceaccount.com die Zulassungsrichtlinie für das Projekt festgelegt hat.
Nächste Schritte
- Erfahren Sie, wie Sie Dienstkonten erstellen und verwalten.
- Mehr über das Erstellen und Verwalten von Dienstkontoschlüsseln
- Best Practices für die Arbeit mit Dienstkonten
- Best Practices für die Verwaltung von Dienstkontoschlüsseln
Jetzt testen
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten