Nutzung von Dienstkonten einschränken

Im Resource Manager sind Einschränkungen verfügbar, mit denen Sie in Organisationsrichtlinien die Nutzung von Cloud Identity and Access Management-Dienstkonten begrenzen können.

Wenn Sie diese Einschränkungen festlegen, gelten sie für zukünftig erstellte und geänderte Dienstkonten. Die Einschränkungen sind nicht rückwirkend und haben keinen Einfluss auf bereits erstellte und konfigurierte Dienstkonten.

Erstellen von Dienstkonten deaktivieren

Die boolesche Einschränkung iam.disableServiceAccountCreation ermöglicht Ihnen, das Erstellen neuer Dienstkonten zu deaktivieren. Auf diese Weise können Sie die Verwaltung von Dienstkonten zentralisieren, ohne die anderen Projektberechtigungen Ihrer Entwickler einzuschränken.

Erstellen von Dienstkontoschlüsseln deaktivieren

Mit der booleschen Einschränkung iam.disableServiceAccountKeyCreation lässt sich das Erstellen von neuen externen Dienstkontoschlüsseln deaktivieren. Damit können Sie die Verwendung von nicht verwalteten, langfristigen Anmeldedaten für Dienstkonten steuern. Wenn diese Einschränkung festgelegt ist, können keine von Nutzern verwalteten Anmeldedaten für Dienstkonten in Projekten erstellt werden, die von der Einschränkung betroffen sind.

Richtlinie festlegen

Die Dienstkonteneinschränkung ist eine Art boolescher Einschränkung.

Sie müssen die Berechtigung haben, die Organisationsrichtlinien zu ändern, um diese Einschränkung festzulegen. Die Rolle resourcemanager.organizationAdmin hat beispielsweise die Berechtigung, Einschränkungen für Organisationsrichtlinien festzulegen. Lesen Sie unter Einschränkungen verwenden, wie Richtlinien auf Organisationsebene verwaltet werden können.

Console

So legen Sie eine Organisationsrichtlinie mit einer Einschränkung fest, die das Erstellen von Dienstkontoschlüsseln deaktiviert:

  1. Rufen Sie in der Google Cloud Platform Console die Seite Organisationsrichtlinien auf.

    Weiter zur Seite "Organisationsrichtlinien"

  2. Klicken Sie am oberen Rand der Seite auf die Drop-down-Liste Organisation und wählen Sie Ihre Organisation aus.
  3. Klicken Sie auf Erstellen von Dienstkonten deaktivieren oder Erstellen von Dienstkontoschlüsseln deaktivieren.
  4. Klicken Sie auf Bearbeiten.
  5. Wählen Sie unter Gilt für die Option Anpassen aus.
  6. Wählen Sie unter Erzwingung die Option An aus.
  7. Klicken Sie auf Speichern. Es wird eine Benachrichtigung angezeigt, in der die Aktualisierung der Richtlinie bestätigt wird.

gcloud

Richtlinien können über das Befehlszeilentool gcloud festgelegt werden.

Führen Sie folgenden Befehl aus, um das Erstellen von Dienstkonten zu deaktivieren:

gcloud alpha resource-manager org-policies enable-enforce \
    --organization 'ORGANIZATION_ID' \
    iam.disableServiceAccountCreation

Führen Sie folgenden Befehl aus, um das Erstellen von Dienstkontoschlüsseln zu deaktivieren:

gcloud alpha resource-manager org-policies enable-enforce \
    --organization 'ORGANIZATION_ID' \
    iam.disableServiceAccountKeyCreation

Zur Deaktivierung der Richtlinie kann derselbe Befehl mit

disable-enforce
ausgeführt werden.

Weitere Informationen zur Verwendung von Einschränkungen in Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.

Beispielrichtlinie

Das folgende Code-Snippet zeigt eine Organisationsrichtlinie mit der Einschränkung, die das Erstellen von Dienstkonten deaktiviert:

resource: "organizations/842463781240"
policy {
  constraint: "constraints/iam.disableServiceAccountCreation"
  etag: "\a\005L\252\122\321\946\334"
  boolean_policy {
  enforced: true
  }
}

Das folgende Code-Snippet zeigt eine Organisationsrichtlinie mit der Einschränkung, die das Erstellen von Dienstkontoschlüsseln deaktiviert:

resource: "organizations/842463781240"
policy {
  constraint: "constraints/iam.disableServiceAccountKeyCreation"
  etag: "\a\005L\252\122\321\946\334"
  boolean_policy {
  enforced: true
  }
}

Fehlermeldungen

Erstellen von Dienstkonten deaktivieren

Wenn iam.disableServiceAccountCreation erzwungen wird, schlägt das Erstellen eines Dienstkontos mit folgender Fehlermeldung fehl:

FAILED_PRECONDITION: Service account creation is not allowed on this project.

Erstellen von Dienstkontoschlüsseln deaktivieren

Wenn iam.disableServiceAccountKeyCreation erzwungen wird, schlägt das Erstellen eines Dienstkontos mit folgender Fehlermeldung fehl:

FAILED_PRECONDITION: Key creation is not allowed on this service account.

Bekannte Fehler beheben

Standarddienstkonten

Durch Anwendung der Einschränkung iam.disableServiceAccountCreation wird das Erstellen von Dienstkonten im jeweiligen Projekt verhindert. Diese Einschränkung betrifft auch GCP-Dienste, die bei ihrer Aktivierung automatisch Standarddienstkonten im Projekt erstellen. Dazu gehören:

  • Compute Engine
  • GKE
  • App Engine
  • Cloud Dataflow

Wenn die Einschränkung iam.disableServiceAccountCreation angewendet wird, schlägt das Aktivieren dieser Dienste fehl, da ihre Standarddienstkonten nicht erstellt werden können.

So lösen Sie dieses Problem:

  1. Entfernen Sie die Einschränkung iam.disableServiceAccountCreation vorübergehend.
  2. Aktivieren Sie die gewünschten Dienste.
  3. Erstellen Sie gegebenenfalls weitere Dienstkonten.
  4. Wenden Sie die Einschränkung wieder an.
Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager