von Johannes Klampfl
In einem früheren Artikel wurden bereits die drei verschiedenen Authentifizierungs-Arten innerhalb der Google Cloud Platform vorgestellt - API Keys, OAuth 2.0 Client IDs, und Service Accounts. Hier lest ihr, welche Arten von Service Accounts es gibt und wie man diese tatsächlich innerhalb einer Applikation verwendet - am Beispiel der wichtigsten GCP Services
Webanalyse steht für Messbarkeit und ist die Grundlage für langfristige Erfolgskontrolle und Effizienzsteigerung Ihrer (Online) Marketing Aktivitäten.
Mehr ErfahrenFrüherer Artikel zum nachlesen!
Bei bestimmten GCP Diensten werden automatisch so genannte “Default Service Accounts” erstellt, mit denen der Dienst Jobs bereitstellen kann, die auf andere GCP Ressourcen zugreifen.
Der Zweck dieser “Default Service Accounts” ist es den in die GCP zu erleichtern. Für Produktivsystem wird Seitens Google jedoch empfohlen eigene Service Accounts zu erstellen und entsprechende Rollen zuzuweisen.
Default Service Accounts bekommen immer die IAM-Rolle “Projektbearbeiter” zugewiesen.
Wird App Engine oder ein GCP Service welches App Engine verwendet erstellt, so wird automatisch der folgende Default Service Account angelegt:
project-id@appspot.gserviceaccount.com
Cloud Functions verwenden im Hintergrund App Engine, darum wird in diesem Fall ebenfalls der App Engine Default Service Account angelegt:
project-id@appspot.gserviceaccount.com
Wird Compute Engine oder ein GCP Service welches Compute Engine verwendet erstellt, so wird automatisch der folgende Default Service Account angelegt:
project-number-compute@developer.gserviceaccount.com
Man diese Art der Service Accounts über die IAM API, mit der Cloud Console oder mit dem gcloud-Befehlszeilentool erstellen. Dabei ist man selbst für die Verwaltung und Sicherung dieser Konten verantwortlich.
Standardmäßig kann man bis zu 100 Dienstkonten in einem Projekt erstellen. Wenn man in einem Projekt ein Dienstkonto erstellt, muss ein Name gewählt werden, welcher dann innerhalb folgender Mail Adresse verwendet wird:
service-account-name@project-id.iam.gserviceaccount.com
Nue Service Accounts können innerhalb des Menüs: IAM & Admin > Service Accounts angelegt werden. Möchte man nun diesem Service Account weitere Rechte zuweisen, so muss dies über: IAM & Admin > IAM gemacht werden.
Der Vollständigkeit soll hier noch erwähnt werden, dass es abgesehen von Default- und User-managed Service Accounts noch eine dritte Art gibt, nämlich: “Google-managed Service Accounts”. Diese sieht man öfters in IAM Richtlinien oder Audit-Logs.
Im Folgenden wird beschrieben, wie bei den wichtigsten Compute Ressourcen ein “User-managed Service Account” anstatt eines “Default Service Accounts” genutzt werden kann.
Ein App Engine Service verwendet immer den App Engine Default Service Account, es ist nicht möglich dies zu ändern.
Standardmäßig verwenden Cloud Functions den oben beschriebenen App Engine Default Service Account. Möchte man dies nicht, kann innerhalb der Erweiterten Einstellungen ein User-managed Service Account gewählt werden.
Auch hier wird zuerst der Compute Engine Default Service Account verwendet, außer man ändert dies in den Settings.
Wir freuen uns auf Ihre Anfrage und beraten Sie gerne unverbindlich! Füllen Sie dazu einfach das Kontaktformular aus oder rufen uns direkt an.
Jetzt kontaktierenNewsletter
Holen Sie sich unsere Online Marketing-Insights und Trends direkt in Ihr Postfach!