Informationen zum Dienstkonto für die Identitäts- und Zugriffsverwaltung

Übersicht

Auf dieser Seite erhalten Sie Informationen zum Dienstkonto für die Identitäts- und Zugriffsverwaltung.

ID des Informationstyps

Die ID des IAM-Informationstyps lautet:

google.iam.serviceAccount.Insight

Sie verwenden diese ID, wenn Sie Informationen mithilfe von gcloud-Befehlen oder der REST API und RPC API aufrufen und ändern.

Standort

Für Recommender-gcloud-Befehle und APIs müssen Sie einen Standort für Informationen angeben, die Sie aufrufen oder ändern. Ein Standort ist eine Region, eine Zone oder ein multiregionales Gebiet. Wenn Sie Informationen zu einem Dienstkonto für die Identitäts- und Zugriffsverwaltung erhalten möchten, verwenden Sie global als Speicherort in gcloud und API-Interaktionen.

Berechtigungen

Wenn Sie Informationen zu Dienstkonten für die Identitäts- und Zugriffsverwaltung aufrufen oder aktualisieren möchten, müssen Sie die erforderlichen Berechtigungen haben.

Erforderliche Berechtigungen

So rufen Sie Informationen zu Dienstkonten für die Identitäts- und Zugriffsverwaltung auf:

  • recommender.iamServiceAccountInsights.get
  • recommender.iamServiceAccountInsights.list

So ändern Sie Informationen zu Dienstkonten für die Identitäts- und Zugriffsverwaltung:

  • recommender.iamServiceAccountInsights.update

Berechtigungen gewähren

Weisen Sie Rollen wie im Folgenden beschrieben zu, um die erforderlichen Berechtigungen zum Aufrufen oder Ändern von Informationen zu Dienstkonten für die Identitäts- und Zugriffsverwaltung zu erteilen:

  • Damit Informationen nur angezeigt werden, müssen Sie eine der folgenden Rollen zuweisen:
    • Rolle IAM Recommender-Betrachter (roles/recommender.iamViewer)
    • Rolle IAM-Sicherheitsprüfer (roles/iam.securityReviewer)
    • Rolle IAM-Sicherheitsadministrator (roles/iam.securityAdmin)
  • Damit Informationen aufgerufen und geändert werden können, weisen Sie die Rolle IAM Recommender-Administrator (roles/recommender.iamAdmin) zu.

Alternativ können Sie auch die folgenden einfachen Rollen zuweisen:

  • Damit Informationen nur angezeigt werden, müssen Sie die Rolle Betrachter (roles/viewer) zuweisen.
  • Damit Informationen angezeigt und geändert werden können, weisen Sie die Rolle Inhaber (roles/owner) oder Bearbeiter (roles/editor) zu.

Untertypen von Informationen

Dieser Typ von Informationen unterstützt die folgenden Untertypen:

  • SERVICE_ACCOUNT_USAGE: Hier werden Informationen zu Dienstkonten bereitgestellt, die in den letzten 90 Tagen nicht authentifiziert wurden. Diese Information verrät beispielsweise, dass das Dienstkonto test-sa@test-project.iam.gserviceaccount.com seit dem 8. Januar 2020 nicht mehr authentifiziert wurde.

Inhalt der Informationen

Beispielinhalt für SERVICE_ACCOUNT_USAGE-Informationen:

{
  service_account_id: 123456789
  email: "test-sa@test-project.iam.gserviceaccount.com"
  last_authenticated_time: "2020-01-08T12:30:55Z"
}