Serviceaccounts maken en gebruiken in Google Cloud Platform

Inhoudsopgave:

Serviceaccounts maken en gebruiken in Google Cloud Platform
Serviceaccounts maken en gebruiken in Google Cloud Platform
Anonim

Serviceaccounts zijn speciale accounts die door apps en servers kunnen worden gebruikt om ze toegang te geven tot uw Google Cloud Platform-bronnen. U kunt ze gebruiken om de toegang binnen uw account en voor externe toepassingen te beheren.

Als u bijvoorbeeld een app toestemming moet geven om naar een Cloud Storage-bucket te schrijven, kunt u een serviceaccount maken, dat account toestemming geven om naar de bucket te schrijven en vervolgens authenticatie doorgeven met de persoonlijke sleutel voor dat serviceaccount. Als de app die u verifieert zich op Compute Engine bevindt, kunt u een serviceaccount instellen voor de hele instantie, die standaard van toepassing is op alle

gcloud API-verzoeken.

Een serviceaccount aanmaken

Ga naar de IAM & Admin Console en klik op 'Servicegebruikers' in de zijbalk. Vanaf hier kunt u een nieuw serviceaccount maken of bestaande beheren.

nieuwe serviceaccount maken
nieuwe serviceaccount maken

Geef het serviceaccount een naam. Het serviceaccount gebruikt het

project-id.iam.gserviceaccount.com domein als e-mail en gedraagt zich als een normale gebruiker bij het toewijzen van machtigingen. Klik op "Maken".

naam instellen voor serviceaccount
naam instellen voor serviceaccount

Als u projectbrede machtigingen wilt toewijzen, die van toepassing zijn op elke getroffen bron, kunt u dit vanaf het volgende scherm doen. U kunt het bijvoorbeeld projectbrede leesrechten geven met "Viewer", of het toegang geven tot een specifieke service zoals Compute Engine.

rollen toevoegen voor serviceaccount
rollen toevoegen voor serviceaccount

Op het volgende scherm kunt u bestaande gebruikers toegang geven om het serviceaccount te gebruiken of te beheren.

beheerders instellen voor serviceaccount
beheerders instellen voor serviceaccount

Om meer gedetailleerde machtigingen te geven, kunt u het serviceaccount toevoegen aan de bronnen die het nodig heeft om toegang te krijgen, zoals specifieke Compute Engine-instanties, door het account als nieuw lid toe te voegen in de instellingen voor 'Rechten' voor de gegeven middel. Op deze manier kunt u toegang geven tot specifieke bronnen, in plaats van projectbrede machtigingen.

Afbeelding
Afbeelding

Het serviceaccount gebruiken

Als u het intern gebruikt voor andere Google Cloud Platform-services, krijgt u vaak de optie om het serviceaccount te selecteren. Voor Compute Engine kunt u onder de instantie-instellingen bijvoorbeeld het serviceaccount instellen dat de engine gebruikt, dat standaard wordt gebruikt voor alle CLI-verzoeken die van de instantie komen.

Afbeelding
Afbeelding

Als u een service wilt verifiëren die niet op Compute Engine draait, of als u niet het serviceaccount voor de hele instantie wilt instellen, moet u een toegangssleutel voor het serviceaccount maken. U kunt dit doen via de Service Account-instellingen in de IAM-console; klik op "Create Key" en u krijgt de mogelijkheid om een JSON-sleutel voor het serviceaccount te downloaden.

nieuwe sleutel maken
nieuwe sleutel maken

Dan kun je die sleutel doorgeven aan de API, meestal door de

GOOGLE_APPLICATION_CREDENTIALS omgevingsvariabele in te stellen. Deze referentie bevat het e-mailadres en de ID van het serviceaccount en is alles wat u nodig hebt om een verbinding tot stand te brengen tussen uw applicatie en GCP.

Populair onderwerp