Types de comptes de service

Les comptes de service peuvent être divisés en deux catégories : les comptes de service que vous gérez et les comptes de service gérés par Google. Cette page décrit comment chaque type de compte de service est créé et utilisé.

Comptes de service gérés par l'utilisateur

Les comptes de service gérés par l'utilisateur sont des comptes de service que vous créez dans vos projets. Vous pouvez mettre à jour, désactiver, activer et supprimer ces comptes de service à votre guise. Vous pouvez également gérer l'accès d'autres comptes principaux à ces comptes de service.

Vous pouvez créer des comptes de service gérés par l'utilisateur dans votre projet à l'aide de l'API Cloud IAM, de la console Google Cloud ou de Google Cloud CLI.

Par défaut, vous pouvez créer jusqu'à 100 comptes de service gérés par l'utilisateur dans un projet. Si ce quota ne répond pas à vos besoins, vous pouvez demander une augmentation de quota à l'aide de la console Google Cloud. Seuls les comptes de service créés par l'utilisateur sont comptabilisés dans ce quota. Les comptes de service par défaut et les comptes de service gérés par Google ne le sont pas.

Lorsque vous créez un compte de service géré par l'utilisateur dans votre projet, vous choisissez un nom pour ce compte de service. Ce nom apparaît dans l'adresse e-mail qui identifie le compte de service, au format suivant :

service-account-name@project-id.iam.gserviceaccount.com

Pour savoir comment créer un compte de service, consultez la section Créer des comptes de service.

Comptes de service par défaut

Les comptes de service par défaut sont des comptes de service gérés par l'utilisateur qui sont créés automatiquement lorsque vous activez ou utilisez certains services Google Cloud. Ces comptes de service permettent au service de déployer des jobs qui accèdent à d'autres ressources Google Cloud. Vous êtes responsable de la gestion des comptes de service par défaut après leur création.

Si votre application s'exécute dans un environnement Google Cloud disposant d'un compte de service par défaut, elle peut utiliser les identifiants du compte de service par défaut pour appeler les API Google Cloud. Vous pouvez également créer votre propre compte de service géré par l'utilisateur et vous en servir pour vous authentifier. Pour en savoir plus, consultez la section Rechercher automatiquement des identifiants.

Important : Lorsqu'un compte de service par défaut est créé, le rôle "Éditeur" (roles/editor) lui est automatiquement attribué sur votre projet. Ce rôle inclut un très grand nombre d'autorisations. Nous vous recommandons vivement de désactiver l'attribution automatique des rôles en ajoutant une contrainte à votre règle d'administration ou en révoquant manuellement le rôle "Éditeur". Si vous désactivez ou révoquez l'attribution de rôle, vous devez choisir les rôles à attribuer aux comptes de service par défaut, puis les attribuer vous-même.

Si vous remplacez une liaison de rôle qui existe depuis plus de 90 jours, les recommandations de rôles peuvent vous aider à déterminer les rôles à attribuer à la place. Vous pouvez également vous servir de Policy Simulator pour vous assurer que la modification du rôle n'affecte pas l'accès du compte de service.

Le tableau suivant répertorie les services qui créent des comptes de service par défaut :

Service	Nom du compte de service	Adresse e-mail
App Engine, et tout service Google Cloud utilisant App Engine	Compte de service App Engine par défaut	`project-id@appspot.gserviceaccount.com`
Compute Engine, et tout service Google Cloud utilisant Compute Engine	Compte de service Compute Engine par défaut	`project-number-compute@developer.gserviceaccount.com`

Comptes de service gérés par Google

Certains services Google Cloud ont besoin d'accéder à vos ressources pour pouvoir agir en votre nom. Par exemple, lorsque vous exécutez un conteneur à l'aide de Cloud Run, le service doit avoir accès à tous les sujets Pub/Sub pouvant déclencher le conteneur.

Pour répondre à ce besoin, Google crée et gère des comptes de service pour de nombreux services Google Cloud. Ces comptes sont appelés comptes de service gérés par Google. Il est possible que des comptes de service gérés par Google s'affichent dans la stratégie d'autorisation de votre projet, dans les journaux d'audit ou sur la page "IAM" de la console Google Cloud.

Les comptes de service gérés par Google ne sont pas créés dans vos projets. Vous ne les verrez donc pas lorsque vous consulterez les comptes de service de vos projets.

Exemple :

Agent de service des API Google. La stratégie d'autorisation de votre projet est susceptible de faire référence à un compte de service nommé "Agent de service des API Google", avec une adresse e-mail au format suivant : project-number@cloudservices.gserviceaccount.com

Ce compte de service exécute des processus Google internes en votre nom. Le rôle Éditeur (roles/editor) lui est automatiquement attribué sur le projet.

Avertissement : À moins qu'une recommandation de rôle ne le suggère, ne révoquez pas les rôles attribués à l'agent de service des API Google. Si vous révoquez ces rôles d'une manière qui n'est pas suggérée par une recommandation de rôle, certains services Google Cloud ne fonctionneront plus.
Autres agents de service La stratégie d'autorisation de votre projet peut faire référence à d'autres comptes de service gérés par Google qui agissent au nom de services individuels. Ces comptes de service sont appelés agents de service. Des rôles peuvent être automatiquement attribués à ces agents de service. Le nom de ces rôles se termine généralement par serviceAgent.

Avertissement : À moins qu'une recommandation de rôle ne le suggère, ne révoquez pas les rôles attribués aux agents de service. Si vous révoquez ces rôles d'une manière qui n'est pas suggérée par une recommandation de rôle, certains services Google Cloud ne fonctionneront plus.

Pour obtenir la liste complète des agents de service et des rôles qui leur sont automatiquement attribués, consultez la page Agents de service.
Gestionnaire de rôles pour les comptes de service gérés par Google. Vos journaux d'audit pour IAM peuvent faire référence au compte de service service-agent-manager@system.gserviceaccount.com.

Ce compte de service gère les rôles attribués aux autres comptes de service gérés par Google. Il n'est visible que dans les journaux d'audit.

Par exemple, si vous utilisez une nouvelle API, Google peut créer automatiquement un compte de service dont il assure la gestion et lui attribuer des rôles dans votre projet. L'attribution de ces rôles génère une entrée de journal d'audit, qui indique que service-agent-manager@system.gserviceaccount.com a défini la stratégie d'autorisation du projet.

Visibilité

Les comptes de service gérés par Google ne sont pas répertoriés sur la page Comptes de service de la console Google Cloud. Ces comptes de service ne se trouvent pas dans votre projet et vous ne pouvez pas y accéder directement.

Par défaut, les comptes de service gérés par Google ne sont pas non plus répertoriés sur la page IAM de la console Google Cloud, même s'ils se sont vu attribuer un rôle sur votre projet. Pour afficher les attributions de rôles sur les comptes de service gérés par Google, cochez la case Inclure les attributions de rôles fournies par Google.

Étapes suivantes

Découvrez comment créer et gérer des comptes de service.
Apprenez à créer et à gérer des clés de compte de service.
Découvrez les bonnes pratiques d'utilisation des comptes de service.
Relisez les Bonnes pratiques pour gérer les clés de compte de service.

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

Essai gratuit