As contas de serviço podem ser divididas em duas categorias: contas de serviço que você gerencia e contas de serviço gerenciadas pelo Google. Nesta página, descrevemos como cada tipo de conta de serviço é criado e usado.
Contas de serviço gerenciadas pelo usuário
As contas de serviço gerenciadas pelo usuário são criadas nos seus projetos. É possível atualizar, desativar, ativar e excluir essas contas de serviço a seu critério. Também é possível gerenciar o acesso de outros principais a essas contas de serviço.
É possível criar contas de serviço gerenciadas pelo usuário no projeto usando a API do IAM, o Console do Google Cloud ou a Google Cloud CLI.
Por padrão, é possível criar até 100 contas de serviço gerenciadas pelo usuário em um projeto. Se essa cota não atender às suas necessidades, use o Console do Google Cloud para solicitar um aumento de cota. Somente contas de serviço criadas pelo usuário são contabilizadas nessa cota. Contas de serviço padrão e contas de serviço gerenciadas pelo Google não são.
Ao criar uma conta de serviço gerenciada pelo usuário no projeto, você escolhe um nome para a conta de serviço. Esse nome aparece no endereço de e-mail que identifica a conta de serviço, com o seguinte formato:
service-account-name@project-id.iam.gserviceaccount.com
Para saber como criar uma conta de serviço, consulte Criar contas de serviço.
Contas de serviço padrão
As contas de serviço padrão são gerenciadas pelo usuário e criadas automaticamente quando você ativa ou usa determinados serviços do Google Cloud. Essas contas de serviço permitem que o serviço implante jobs que acessam outros recursos do Google Cloud. Você é responsável por gerenciar as contas de serviço padrão depois que elas são criadas.
Se seu aplicativo for executado em um ambiente do Google Cloud com uma conta de serviço padrão, o aplicativo poderá usar as credenciais da conta de serviço padrão para chamar as APIs do Google Cloud. Como alternativa, crie sua própria conta de serviço gerenciada pelo usuário e use-a para se autenticar. Para detalhes, consulte Como localizar credenciais automaticamente.
Esta tabela mostra os serviços que criam contas de serviço padrão:
| Serviço | Nome da conta de serviço | Endereço de e-mail |
|---|---|---|
| App Engine e qualquer serviço do Google Cloud que use o App Engine | Conta de serviço padrão do App Engine | project-id@appspot.gserviceaccount.com |
| Compute Engine e qualquer serviço do Google Cloud que use o Compute Engine | Conta de serviço padrão do Compute Engine |
project-number-compute@developer.gserviceaccount.com
|
Contas de serviço gerenciadas pelo Google
Alguns serviços do Google Cloud precisam acessar seus recursos para serem capazes de atuar em seu nome. Por exemplo, quando você usa o Cloud Run para executar um contêiner, o serviço precisa acessar qualquer tópico do Pub/Sub que possa acionar o contêiner.
Para atender a essa necessidade, o Google cria e gerencia contas de serviço de muitos serviços do Google Cloud. Elas são conhecidas como contas de serviço gerenciadas pelo Google. Talvez você veja as contas de serviço gerenciadas pelo Google na política de permissão do projeto, nos registros de auditoria ou na página do IAM no Console do Google Cloud.
Contas de serviço gerenciadas pelo Google não são criadas nos seus projetos. Portanto, você não as verá ao visualizar as contas de serviço dos seus projetos.
Exemplo:
Agente de serviço do Google APIs. A política de permissão do projeto provavelmente se refere a uma conta de serviço chamada agente de serviço de APIs do Google, com um endereço de e-mail que usa o seguinte formato:
project-number@cloudservices.gserviceaccount.comEssa conta de serviço executa processos internos do Google em seu nome. Ele recebe automaticamente o papel de editor (
roles/editor) no projeto.Outros agentes de serviços. A política de permissão do projeto pode se referir a outras contas de serviço gerenciadas pelo Google que atuam em nome de serviços individuais. Essas contas de serviço às vezes são chamadas de agentes de serviços. Os papéis são concedidos automaticamente a esses agentes de serviços. Os nomes desses papéis normalmente terminam em
serviceAgent.Para ver a lista completa de agentes de serviço e os papéis que são concedidos automaticamente a cada um, consulte Agentes de serviço.
Gerente de papéis para contas de serviço gerenciadas pelo Google. Os registros de auditoria do IAM podem se referir à conta de serviço
service-agent-manager@system.gserviceaccount.com.Essa conta de serviço gerencia os papéis que são concedidos a outras contas de serviço gerenciadas pelo Google. Ela é visível apenas nos registros de auditoria.
Por exemplo, se você usar uma nova API, o Google poderá criar automaticamente uma nova conta de serviço gerenciada pelo Google e conceder papéis a essa conta no seu projeto. A concessão desses papéis gera uma entrada de registro de auditoria, que mostra que
service-agent-manager@system.gserviceaccount.comdefiniu a política de permissão para o projeto.
Visibilidade
As contas de serviço gerenciadas pelo Google não estão listadas na página Contas de serviço do Console do Google Cloud. Essas contas de serviço não estão localizadas no seu projeto, e não é possível acessá-las diretamente.
Por padrão, as contas de serviço gerenciadas pelo Google também não são listadas na página IAM do Console do Google Cloud, mesmo que elas tenham recebido um papel no projeto. Opcional: para visualizar concessões de papel para contas de serviço gerenciadas pelo Google, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
A seguir
- Saiba como criar e gerenciar contas de serviço.
- Saiba como criar e gerenciar chaves de contas de serviço.
- Confira as práticas recomendadas para trabalhar com contas de serviço.
- Práticas recomendadas para gerenciar chaves de contas de serviço
Faça um teste
Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Comece a usar gratuitamente