Service Accounts innerhalb der Google Cloud Platform

In einem früheren Artikel wurden bereits die drei verschiedenen Authentifizierungs-Arten innerhalb der Google Cloud Platform vorgestellt – API Keys, OAuth 2.0 Client IDs, und Service Accounts. Hier lest ihr, welche Arten von Service Accounts es gibt und wie man diese tatsächlich innerhalb einer Applikation verwendet – am Beispiel der wichtigsten GCP Services .

Service Account Arten

Default Service Account

Bei bestimmten GCP Diensten werden automatisch so genannte “Default Service Accounts” erstellt, mit denen der Dienst Jobs bereitstellen kann, die auf andere GCP Ressourcen zugreifen.
Der Zweck dieser “Default Service Accounts” ist es den in die GCP zu erleichtern. Für Produktivsystem wird Seitens Google jedoch empfohlen eigene Service Accounts zu erstellen und entsprechende Rollen zuzuweisen.
Default Service Accounts bekommen immer die IAM-Rolle “Projektbearbeiter” zugewiesen.

App Engine

Wird App Engine oder ein GCP Service welches App Engine verwendet erstellt, so wird automatisch der folgende Default Service Account angelegt:
project-id@appspot.gserviceaccount.com

Cloud Functions

Cloud Functions verwenden im Hintergrund App Engine, darum wird in diesem Fall ebenfalls der App Engine Default Service Account angelegt:
project-id@appspot.gserviceaccount.com

Compute Engine

Wird Compute Engine oder ein GCP Service welches Compute Engine verwendet erstellt, so wird automatisch der folgende Default Service Account angelegt:
project-number-compute@developer.gserviceaccount.com

User-managed Service Account

Man diese Art der Service Accounts über die IAM API, mit der Cloud Console oder mit dem gcloud-Befehlszeilentool erstellen. Dabei ist man selbst für die Verwaltung und Sicherung dieser Konten verantwortlich.
Standardmäßig kann man bis zu 100 Dienstkonten in einem Projekt erstellen. Wenn man in einem Projekt ein Dienstkonto erstellt, muss ein Name gewählt werden, welcher dann innerhalb folgender Mail Adresse verwendet wird:
service-account-name@project-id.iam.gserviceaccount.com
Nue Service Accounts können innerhalb des Menüs: IAM & Admin > Service Accounts angelegt werden. Möchte man nun diesem Service Account weitere Rechte zuweisen, so muss dies über: IAM & Admin > IAM gemacht werden.

Google-managed Service Accounts

Der Vollständigkeit soll hier noch erwähnt werden, dass es abgesehen von Default- und User-managed Service Accounts noch eine dritte Art gibt, nämlich: “Google-managed Service Accounts”. Diese sieht man öfters in IAM Richtlinien oder Audit-Logs.

Änderung des Default Service Accounts

Im Folgenden wird beschrieben, wie bei den wichtigsten Compute Ressourcen ein “User-managed Service Account” anstatt eines “Default Service Accounts” genutzt werden kann.

App Engine

Ein App Engine Service verwendet immer den App Engine Default Service Account, es ist nicht möglich dies zu ändern.

Cloud Functions

Standardmäßig verwenden Cloud Functions den oben beschriebenen App Engine Default Service Account. Möchte man dies nicht, kann innerhalb der Erweiterten Einstellungen ein User-managed Service Account gewählt werden.

Compute Engine

Auch hier wird zuerst der Compute Engine Default Service Account verwendet, außer man ändert dies in den Settings.

Für mehr Information zur Google Cloud Platform kontaktiert unsere Experts:

kontakt@e-dialog.at

Hinterlassen Sie einen Kommentar: