Dienstkonto in App Design Center konfigurieren

Ein Dienstkonto ist ein spezieller Kontotyp, der nicht von einer Person, sondern von einer Anwendung oder Compute-Arbeitslast verwendet wird, z. B. einer Compute Engine-Instanz. Ein Dienstkonto wird durch seine E-Mail-Adresse definiert, die für das Konto eindeutig ist. Weitere Informationen finden Sie unter Dienstkontenübersicht.

In diesem Dokument werden die Verbindungen und Parameter beschrieben, die Sie konfigurieren können, wenn Sie mit dem App Design Center ein Dienstkonto erstellen. Die Konfigurationsparameter basieren auf dem Terraform-Modul terraform-google-service-accounts.

Komponentenverbindungen

Die folgende Tabelle enthält die Komponenten, die Sie mit einem Dienstkonto verbinden können, sowie die resultierenden Aktualisierungen Ihrer Anwendung und des generierten Terraform-Codes.

Verbundene Komponente

Anwendungsupdates

Hintergrundinformationen:

Compute Engine-Instanzvorlage
  • In der Compute Engine-Instanzvorlage wird das verknüpfte Dienstkonto verwendet, anstatt ein neues Dienstkonto zu erstellen. Das verknüpfte Dienstkonto wird zur Authentifizierung und Autorisierung bei anderen Google Cloud -Diensten verwendet.
  • Die E-Mail-Adresse des Dienstkontos und die IAM-Informationen werden der Compute Engine-Instanzvorlage hinzugefügt.
 VM erstellen, die ein vom Nutzer verwaltetes Dienstkonto verwendet

Secret Manager
  • Das Dienstkonto kann auf die vertraulichen Daten zugreifen.
  • Die Rolle roles/secretmanager.secretAccessor wird dem Dienstkonto zugewiesen.
 Zugriff auf Secrets verwalten

BigQuery
  • Das Dienstkonto kann von Diensten wie Cloud Run verwendet werden, um Daten im BigQuery-Dataset zu lesen und zu ändern.
  • Dem Dienstkonto wird die BigQuery-Rolle roles/bigquery.dataEditor hinzugefügt.
 IAM-Rollen und ‑Berechtigungen für BigQuery

Cloud Run
  • Der Cloud Run-Dienst verwendet das Dienstkonto als Dienstidentität.
  • Die Rolle roles/run.invoker wird dem Dienstkonto hinzugefügt.
  • Die E-Mail-Adresse des Dienstkontos und die IAM-Informationen werden der Cloud Run-Instanz hinzugefügt.
 Dienst-zu-Dienst authentifizieren

Cloud SQL (MySQL)
  • Das Dienstkonto kann eine Verbindung zur Cloud SQL-Instanz (MySQL) herstellen.
  • Die Rollen roles/cloudsql.instanceUser und roles/cloudsql.client werden dem Dienstkonto hinzugefügt.
  • Die IAM-Informationen des Dienstkontos werden der Cloud SQL-Instanz hinzugefügt.
 Rollen und Berechtigungen

Cloud SQL (PostgreSQL)
  • Das Dienstkonto kann eine Verbindung zur Cloud SQL-Instanz (PostgreSQL) herstellen.
  • Die Rollen roles/cloudsql.instanceUser und roles/cloudsql.client werden dem Dienstkonto hinzugefügt.
  • Die IAM-Informationen des Dienstkontos werden der Cloud SQL-Instanz hinzugefügt.
 Rollen und Berechtigungen

Cloud Storage
  • Das Dienstkonto kann Objekte im Cloud Storage-Bucket verwalten.
  • Die IAM-Informationen des Dienstkontos werden dem Cloud Storage-Bucket hinzugefügt.
  • Die Rolle roles/storage.objectAdmin wird dem Dienstkonto zugewiesen.
 IAM-Richtlinien für Buckets festlegen und verwalten

Memorystore for Redis
  • Das Dienstkonto kann die Memorystore for Redis-Instanz verwalten.
  • Die Rolle roles/redis.editor wird dem Dienstkonto hinzugefügt.
 Das Memorystore for Redis-Dienstkonto

Pub/Sub
  • Das Dienstkonto kann Pub/Sub-Themen verwalten und Nachrichten aus Abos abrufen.
  • Die Rolle roles/pubsub.editor wird dem Dienstkonto hinzugefügt.
  • Der Name des Dienstkontos und die E-Mail-Informationen werden dem Pub/Sub-Pull-Abo hinzugefügt.
 Zugriffssteuerung mit IAM

Spanner
  • Das Dienstkonto hat Zugriff auf die Spanner-Instanz.
  • Das Dienstkonto wird der Spanner-Instanz als IAM-Nutzer hinzugefügt.
 Instanz mit einem Dienstkonto konfigurieren

Vertex AI
  • Das Dienstkonto kann mit Vertex AI-Diensten interagieren.
  • Die Rolle roles/aiplatform.user wird dem Dienstkonto hinzugefügt.
 Vertex AI-Zugriffssteuerung mit IAM

Erforderliche Konfigurationsparameter

Wenn Ihre Vorlage eine Dienstkontokomponente enthält, müssen Sie die folgenden Parameter konfigurieren, bevor Sie die Vorlage bereitstellen.

Parametername

Beschreibung und Einschränkungen

Hintergrundinformationen:

Projekt-ID

Das Projekt, in dem Sie die Dienstkontoressource erstellen möchten.

 Komponenten konfigurieren

Name

Eine Kennung, die zwischen 6 und 30 Zeichen lang sein muss. Kann alphanumerische Zeichen in Kleinschreibung sowie Bindestriche enthalten. Beispiel: my-service-account.

 Dienstkonten erstellen

Optionale Konfigurationsparameter

Die folgenden Parameter sind optional. Wenn Sie erweiterte Parameter aufrufen möchten, wählen Sie im Bereich Konfiguration die Option Erweiterte Felder anzeigen aus.

Parametername

Beschreibung und Informationen zu Einschränkungen

Hintergrundinformationen:

Anzeigename

Ein für Nutzer lesbarer Name für das Dienstkonto.

 Dienstkonten erstellen

Beschreibung

Eine für Nutzer lesbare Beschreibung.

 Dienstkonten erstellen
Projektrollen project_roles Zugriff auf Projekte, Ordner und Organisationen verwalten