Mit Dienstidentitäten authentifizieren

Eine Dienstidentität in Google Distributed Cloud (GDC) Air-Gapped bietet eine dedizierte Identität für Arbeitslasten oder Dienste, um programmatisch sicher auf Ressourcen und Microservices zuzugreifen. Dies sind spezielle Identitäten, die von Anwendungen oder Arbeitslasten und nicht von einer Person verwendet werden. Sie können nicht für die Anmeldung von Personen verwendet werden. Ähnlich wie bei Nutzerkonten weisen Sie einer Dienstidentität Berechtigungen und Rollen zu, um festzulegen, worauf sie Zugriff hat.

Für dieses Konzept werden zwei Begriffe verwendet. In der GDC-Konsole wird hauptsächlich der Begriff „Dienstidentität“ verwendet, während in gdcloud-Befehlen und API-Interaktionen häufig der Begriff „Dienstkonto“ verwendet wird. Letzteres entspricht dem Namen der zugrunde liegenden benutzerdefinierten Kubernetes-Ressource ProjectServiceAccount. Beide Begriffe beziehen sich auf dasselbe: die nicht menschliche Identität für Ihre Arbeitslasten. In diesem Dokument wird der Begriff „Dienstidentität“ als primärer Begriff verwendet.

Dienstidentitäten sind nützlich für die Verwaltung der GDC-Infrastruktur, z. B.:

  • Interne Distributed Cloud-Dienste und ‑Arbeitslasten, um sicher auf die API (Application Programming Interface) der Distributed Cloud-Steuerungsebene zuzugreifen. Beispielsweise interagieren Datenbankdienste mit den Kubernetes-APIs, um Datenbanken zu erstellen und zu löschen.
  • Kundenarbeitslasten in Distributed Cloud, um auf Distributed Cloud-Dienste zuzugreifen und autorisierte API-Aufrufe (Application Programming Interface) auszuführen. Mit Dienstidentitäten kann beispielsweise ein Kunde verwaltet werden, der ein Vertex AI Workbench-Notebook verwendet, um Audiodateien mit der Speech-to-Text API zu transkribieren.
  • Externe Arbeitslasten, die mit Distributed Cloud verbunden werden sollen. Dienstidentitäten können beispielsweise eine Anwendung außerhalb von Distributed Cloud verwalten, die Dokumente digitalisiert, aber die OCR-API (Optical Character Recognition, optische Zeichenerkennung) verwenden möchte, um die aktuelle OCR-Engine zu ersetzen.
  • Distributed Cloud-Dienste oder Systemcontroller für den sicheren Zugriff auf Kundenressourcen oder Nutzercluster. Mit Dienstidentitäten können beispielsweise Authentifizierungs- und Autorisierungsvorgänge verwaltet werden, bei denen die Dienstcontroller, die in Administratorclustern ausgeführt werden, Arbeitslasten in den von Kunden verwalteten Nutzerclustern ausführen müssen.

Sie können Konten für Dienstidentitäten über die GDC-Konsole, die gdcloud CLI oder die API verwalten. In der gcloud CLI basiert das Feature für Dienstidentitäten auf der globalen ProjectServiceAccount API. Da ProjectServiceAccount-Ressourcen global konfiguriert werden, sind sie in allen Zonen in Ihrem gdcloud-Universum verfügbar.

Hinweise

Sie können eine Dienstidentität nur innerhalb eines Projekts erstellen. Informationen zum Erstellen eines Projekts finden Sie unter Projekt erstellen.

Die Verwaltung von Dienstidentitäten umfasst sowohl die Dienstidentität (dargestellt durch eine ProjectServiceAccount-Ressource) als auch die zugehörigen Anmeldedaten (öffentliche und private Schlüsselpaare). Bitten Sie Ihren Organisations-IAM-Administrator oder Projekt-IAM-Administrator, Ihnen die Rolle „Projekt-IAM-Administrator“ (project-iam-admin) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Dienstidentitäten und ihren Anmeldedaten benötigen.

Dienstidentität erstellen

Zum Erstellen einer Dienstidentität müssen Sie ein Konto und die zugehörigen Anmeldedaten erstellen.

Konto erstellen

Wenn Sie ein Konto für eine Dienstidentität erstellen möchten, verwenden Sie die GDC-Konsole, die gdcloud-Befehlszeile oder die API, um eine ProjectServiceAccount-Ressource in einem Projekt zu erstellen.

Console

  1. Melden Sie sich in der GDC-Konsole an.
  2. Wählen Sie im Navigationsmenü Identität & Zugriff > Dienstidentitäten aus.
  3. Klicken Sie auf Dienstidentität erstellen. Die Seite Details zur Dienstidentität wird geöffnet.
  4. Geben Sie im Feld Name der Dienstidentität einen Namen für die Dienstidentität ein. Beispiel: testserviceidentity
  5. Klicken Sie auf Erstellen.

gdcloud

Konto erstellen:

gdcloud iam service-accounts create NAME \
    --project=PROJECT

Ersetzen Sie die folgenden Werte:

  • NAME: der Name des ProjectServiceAccount. Der Name muss innerhalb des Projektnamespace eindeutig sein.
  • PROJECT: Das Projekt, in dem die Dienstidentität erstellt werden soll. Wenn gdcloud init bereits festgelegt ist, lassen Sie das Flag --project weg.

Mit diesem Befehl wird ein ProjectServiceAccount im Projektnamespace auf dem Management API-Server erstellt.

API

  1. Erstellen Sie eine YAML-Datei für die benutzerdefinierte Ressource vom Typ ProjectServiceAccount, z. B. my-project-sa.yaml:

    apiVersion: resourcemanager.global.gdc.goog/v1
kind: ProjectServiceAccount
metadata:
  name: NAME
  namespace: PROJECT
spec:
  keys:
  - algorithm: ALGORITHM
  id: KEY_ID
  key: BASE64_ENCODED_KEY
  validAfter: "START_TIME"
  validBefore: "EXPIRATION_TIME"

    Ersetzen Sie die folgenden Variablen:

    • NAME: der Name der ProjectServiceAccount-Ressource. Der Name muss innerhalb des Projekt-Namespace eindeutig sein.
    • PROJECT: Das Projekt, in dem die Dienstidentität erstellt werden soll.
    • ALGORITHM: Der Algorithmus des Schlüssels. Es werden nur ES256-Schlüssel unterstützt.
    • KEY_ID: die eindeutige Kennung des Schlüssels. Die ID wird verwendet, um zu bestimmen, welcher Schlüssel für die Überprüfung verwendet werden soll.
    • BASE64_ENCODED_KEY: Der Base64-codierte öffentliche Schlüssel im PEM-Format, der für die Überprüfung verwendet wird. Der private Schlüssel, der zum Generieren dieses öffentlichen Schlüssels verwendet wird, wird im ECDSA P256-PEM-Format erwartet.
    • START_TIME: Die Startzeit, ab der der Schlüssel gültig ist, z. B. 2025-02-07T00:59:34Z.
    • EXPIRATION_TIME: Die Ablaufzeit für den Schlüssel, z. B. 2026-02-07T00:59:34Z.

  2. Wenden Sie die benutzerdefinierte Ressource ProjectServiceAccount auf den globalen API-Server an:

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f my-project-sa.yaml

    Ersetzen Sie die Variable GLOBAL_API_SERVER_KUBECONFIG durch den Pfad zur kubeconfig-Datei für den globalen API-Server.

Anmeldedaten erstellen

Damit sich eine Arbeitslast oder Anwendung als Dienstidentität (die durch das von Ihnen erstellte Konto dargestellt wird) authentifizieren kann, müssen Sie Anmeldedaten generieren. Zum Erstellen von Anmeldedaten müssen Sie ein kryptografisches Schlüsselpaar mit einem privaten und einem öffentlichen Schlüssel generieren und den öffentlichen Schlüssel mit der Dienstidentität verknüpfen.

Zum Erstellen von Anmeldedaten für eine Dienstidentität verwenden Sie die GDC Console, die gdcloud CLI oder die API.

Console

  1. Melden Sie sich in der GDC-Konsole an.
  2. Wählen Sie im Navigationsmenü Identität & Zugriff > Dienstidentitäten aus.
  3. Klicken Sie auf den Namen der Dienstidentität, die Sie dem Schlüssel hinzufügen möchten.
  4. Klicken Sie auf Neuen Schlüssel erstellen.
  5. Der neue Schlüssel wird in der Liste Schlüssel angezeigt und in einem Dialogfeld wird bestätigt, dass Sie den Schlüssel erfolgreich erstellt haben.

gdcloud

Mit dem Befehl gdcloud wird eine JSON-Datei mit Standardanmeldedaten für Anwendungen sowie ein öffentliches und privates Schlüsselpaar erstellt:

gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT \
    --iam-account=NAME \
    --ca-cert-path=CA_CERTIFICATE_PATH

Ersetzen Sie die folgenden Werte:

  • APPLICATION_DEFAULT_CREDENTIALS_FILENAME: der Name der JSON-Datei.
  • PROJECT : Wählt das Projekt aus, für das der Schlüssel erstellt werden soll. Wenn gdcloud init bereits festgelegt ist, können Sie das Flag --project weglassen.
  • NAME: Der Name der Dienstidentität, für die der Schlüssel hinzugefügt werden soll.
  • CA_CERTIFICATE_PATH (optional): Der Zertifikatspfad der Zertifizierungsstelle (Certificate Authority, CA) zum Überprüfen des Authentifizierungsendpunkts. Wenn Sie diesen Pfad nicht angeben, werden die CA-Zertifikate des Systems verwendet. Sie müssen die CA in den System-CA-Zertifikaten installieren.

Distributed Cloud fügt den öffentlichen Schlüssel den ProjectServiceAccount-Schlüsseln hinzu, die Sie zum Überprüfen der JSON-Webtokens (JWTs) verwenden, die mit dem privaten Schlüssel signiert werden. Der private Schlüssel wird in die JSON-Datei mit den Standardanmeldedaten der Anwendung geschrieben.

Das folgende Beispiel zeigt die JSON-Datei für die Standardanmeldedaten der Anwendung:

{
"type": "gdch_service_account",
"format_version": "1",
"project": "project_name",
"private_key_id": "abcdef1234567890",
"private_key": "-----BEGIN PRIVATE KEY-----\nETC\n-----END PRIVATE KEY-----\n",
"name": "service_identity_name",
"ca_cert_path": "/path/to/ca.crt",
"token_uri": "https://service-identity.<Domain>/authenticate"
}

In diesem Beispiel werden die folgenden Werte verwendet:

  • project: Der Projekt-Namespace in der Organisation.
  • private_key_id: die dem Schlüssel zugewiesene ID.
  • private_key: Der private ECDSA P256-Schlüssel im PEM-Format, der von der CLI generiert wird.
  • name: der Name der Dienstidentität.
  • ca_cert_path: Der Pfad zum Zertifikat der Zertifizierungsstelle, das zum Überprüfen des Authentifizierungsendpunkts verwendet wird.
  • token_uri: die Adresse des Authentifizierungsendpunkts.

API

  1. Generieren Sie das Schlüsselpaar aus öffentlichem und privatem Schlüssel. In den folgenden Befehlen wird openssl als Beispiel verwendet. Das ist ein gängiges Tool für diesen Zweck.

    openssl ecparam -name prime256v1 -genkey -noout -out "key.pem"
openssl ec -in "key.pem" -pubout > "pub.pem"

  2. Base64-Codierung des öffentlichen Schlüssels und Abrufen der zugehörigen Schlüssel-ID:

    KEY_ID=$(openssl pkey -in key.pem -pubout -outform der | openssl dgst -sha256 | sed 's/^.* //')
BASE64_ENCODED_KEY=$(cat pub.pem | base64)

  3. Erstellen oder aktualisieren Sie die benutzerdefinierte YAML-Ressourcendatei ProjectServiceAccount und fügen Sie die generierten Schlüsselinformationen aus dem vorherigen Schritt ein:

    apiVersion: resourcemanager.global.gdc.goog/v1
kind: ProjectServiceAccount
metadata:
  name: NAME
  namespace: PROJECT
spec:
  keys:
  - algorithm: ALGORITHM
  id: KEY_ID
  key: BASE64_ENCODED_KEY
  validAfter: "START_TIME"
  validBefore: "EXPIRATION_TIME"

    Ersetzen Sie die folgenden Variablen:

    • NAME: der Name der ProjectServiceAccount-Ressource. Der Name muss innerhalb des Projekt-Namespace eindeutig sein.
    • PROJECT: das Projekt, in dem Sie den Schlüssel erstellen.
    • ALGORITHM: Der Algorithmus des Schlüssels. Es werden nur ES256-Schlüssel unterstützt.
    • KEY_ID: die eindeutige Kennung des Schlüssels. Die ID wird verwendet, um zu bestimmen, welcher Schlüssel für die Überprüfung verwendet werden soll.
    • BASE64_ENCODED_KEY: Der Base64-codierte öffentliche Schlüssel im PEM-Format, der für die Überprüfung verwendet wird. Der private Schlüssel, der zum Generieren dieses öffentlichen Schlüssels verwendet wird, wird im ECDSA P256-PEM-Format erwartet.
    • START_TIME: Die Startzeit, ab der der Schlüssel gültig ist, z. B. 2025-02-07T00:59:34Z.
    • EXPIRATION_TIME: Die Ablaufzeit für den Schlüssel, z. B. 2026-02-07T00:59:34Z.

  4. Wenden Sie die benutzerdefinierte Ressource ProjectServiceAccount auf den globalen API-Server an:

    kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG apply -f my-project-sa.yaml

    Ersetzen Sie die Variable GLOBAL_API_SERVER_KUBECONFIG durch den Pfad zur kubeconfig-Datei für den globalen API-Server.

  5. Erstellen Sie die JSON-Datei mit den Standardanmeldedaten für die Anwendung, die den privaten Schlüssel enthält. Achten Sie darauf, dass die Variable KEY_ID in der JSON-Datei auf denselben Wert festgelegt ist wie die Variable KEY_ID, die Sie in der ProjectServiceAccount-Spezifikation verwendet haben.

    cat <<EOF > "key_file.json"
{
  "format_version": "1",
  "name": "NAME",
  "private_key": "$(tr '\n' '\t' < "key.pem" | sed 's/\t/\\n/g')",
  "private_key_id": "KEY_ID",
  "project": "PROJECT",
  "token_uri": "AUTH_URL",
  "type": "gdch_service_account"
}
EOF

    Ersetzen Sie die folgenden Variablen:

    • NAME: der Name der Dienstidentität.
    • KEY_ID: die eindeutige Kennung des Schlüssels. Die ID wird verwendet, um zu bestimmen, mit welchem Schlüssel die Signatur verglichen werden soll. Sie muss mit dem KEY_ID-Wert übereinstimmen, der in der ProjectServiceAccount-Spezifikation verwendet wird.
    • PROJECT: Der Projekt-Namespace in der Organisation.
    • AUTH_URL: die Adresse des Authentifizierungsendpunkts.

Details zur Verwendung der generierten Schlüsseldatei zur Authentifizierung der gcloud CLI als diese Dienstidentität finden Sie im Abschnitt Dienstidentität mit einem Schlüssel autorisieren.

Dienstidentitäten ansehen

In diesem Abschnitt wird beschrieben, wie Sie Ihre Dienstidentitäten und die zugehörigen öffentlichen Schlüssel aufrufen.

Liste der Dienstidentitäten ansehen

Wenn Sie eine Liste der Dienstidentitäten in einem Projekt aufrufen möchten, verwenden Sie die GDC Console oder die gdcloud CLI.

Console

  1. Melden Sie sich in der GDC-Konsole an.
  2. Wählen Sie ein Projekt aus.
  3. Klicken Sie im Navigationsmenü auf Identität & Zugriff > Dienstidentitäten, um die Liste der Dienstidentitäten für das Projekt aufzurufen.

gdcloud

Dienstidentitätskonten in einem Projekt auflisten:

gdcloud iam service-accounts list \
    --project=PROJECT

Ersetzen Sie PROJECT durch die Projekt-ID.

Liste der öffentlichen Schlüssel für eine Dienstidentität ansehen

Listen Sie die öffentlichen Schlüssel auf, die in einem Projekt für ein Dienstidentitätskonto registriert sind:

gdcloud iam service-accounts keys list \
    --project=PROJECT \
    --iam-account=NAME

Ersetzen Sie Folgendes:

  • PROJECT: Projekt-ID.
  • NAME: der Name des zu verwendenden Dienstidentitätskontos.

Berechtigungen für Dienstidentitäten erteilen

Wenn Sie einer Dienstidentität Berechtigungen erteilen möchten, weisen Sie ihr eine oder mehrere Rollen zu, indem Sie Rollenbindungen über die GDC-Konsole oder die gdcloud CLI erstellen.

Console

  1. Melden Sie sich in der GDC-Konsole an.
  2. Wählen Sie ein Projekt aus.
  3. Wählen Sie im Navigationsmenü Identität & Zugriff > Zugriff aus.
  4. Klicken Sie in der Liste Mitglied auf Mitglied hinzufügen. Die Seite Nutzer und Rollen wird angezeigt.
  5. Wählen Sie in der Liste Mitgliedstyp die Option Dienstidentität aus.
  6. Wählen Sie in der Liste Dienstidentität die Dienstidentität aus, der Sie eine Rollenbindung zuweisen möchten.
  7. Wählen Sie in der Liste Rolle die Rolle aus, die Sie der Dienstidentität zuweisen möchten, z. B. Backup Creator.
  8. Optional: Wenn Sie eine weitere Rolle hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen. Wählen Sie die zusätzliche Rolle aus.
  9. Klicken Sie auf Hinzufügen.

gdcloud

Sie können das Dienstidentitätskonto an Rollen im Projekt-Namespace oder an Rollen in einem anderen Namespace binden.

  • Binden Sie das Konto an eine Rolle im Projekt-Namespace:

    gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT \
    --role=ROLE \
    --iam-account=NAME

    Ersetzen Sie Folgendes:

    • PROJECT: Das Projekt, in dem die Rollenbindung erstellt werden soll. Wenn gdcloud init bereits festgelegt ist, können Sie das Flag --project weglassen.
    • ROLE: Die vordefinierte Rolle, die dem Konto zugewiesen werden soll. Geben Sie Rollen im Format Role/name an, wobei Role der Kubernetes-Typ IAMRole und name der Name der vordefinierten Rolle ist. Wenn Sie beispielsweise die Rolle „Projektbetrachter“ zuweisen möchten, legen Sie die Rolle auf IAMRole/project-viewer fest.
    • NAME: Der Name des zu verwendenden Dienstidentitätskontos.

  • Binden Sie das Konto an eine Rolle in einem anderen Namespace:

    gdcloud iam service-accounts add-iam-policy-binding \
    --role=ROLE \
    --role-namespace=ROLE_NAMESPACE \
    --iam-account=NAME

    Ersetzen Sie Folgendes:

    • ROLE: Die vordefinierte Rolle, die dem Konto zugewiesen werden soll. Geben Sie Rollen im Format Role/name an, wobei Role der Kubernetes-Typ IAMRole und name der Name der vordefinierten Rolle ist. Wenn Sie beispielsweise die Rolle „Projektbetrachter“ zuweisen möchten, legen Sie die Rolle auf IAMRole/project-viewer fest.
    • ROLE_NAMESPACE: der Namespace der Rolle, die mit dem Konto verknüpft werden soll, mit Ausnahme des Projekt-Namespace.
    • NAME: Der Name des zu verwendenden Dienstidentitätskontos.

Dienstidentität authentifizieren und verwenden

Wenn Sie gdcloud und andere Tools so konfigurieren möchten, dass sie als Dienstidentität fungieren, müssen Sie sich zuerst mit der Schlüsseldatei der Dienstidentität bei gdcloud authentifizieren. Nach der Authentifizierung können Sie mit den Anmeldedaten der Dienstidentität Tokens oder kubeconfig-Dateien generieren.

Dienstidentität mit einem Schlüssel autorisieren

Mit dem Befehl gdcloud auth activate-service-account wird die gcloud CLI mit einer Dienstidentität authentifiziert. So können Sie Aktionen für Distributed Cloud-Ressourcen mit den Berechtigungen des Dienstidentitätskontos anstelle eines Nutzerkontos ausführen.

Dienstidentität mit einem Schlüssel autorisieren:

  1. Erstellen Sie eine Datei mit Anmeldedaten, falls Sie noch keine haben.

  2. Aktivieren Sie die Dienstidentität mit dem folgenden Befehl:

    gdcloud auth activate-service-account --key-file=KEY_FILE

    Ersetzen Sie KEY_FILE durch den Pfad zur Datei mit dem Anmeldedatenschlüssel, in der Regel im JSON-Format.

    Nach der erfolgreichen Aktivierung verwendet gdcloud die Anmeldedaten der Dienstidentität anstelle Ihrer Nutzeranmeldedaten.

Nachdem Sie eine Dienstidentität autorisiert haben, können Sie ein Identitätstoken dafür ausgeben. Sie können dieses Token als Inhabertoken verwenden, um HTTP-Anfragen zu authentifizieren. Das bedeutet, dass das Token jeder Partei, die es besitzt, Zugriff auf die im Parameter AUDIENCES definierten Dienste gewährt.

Geben Sie ein Identitätstoken für das angegebene Dienstidentitätskonto aus:

gdcloud auth print-identity-token --audiences=AUDIENCES

Ersetzen Sie AUDIENCES durch den gewünschten Empfänger oder den Dienst, für den das Token bestimmt ist. Es kann nur eine Zielgruppe angegeben werden.

kubeconfig-Datei generieren

Nachdem Sie eine Dienstidentität autorisiert haben, können Sie eine kubeconfig-Datei generieren, um sich bei Clustern zu authentifizieren.

  1. Legen Sie das gdcloud-Attribut core/organization_console_url fest.

    gdcloud config set core/organization_console_url
https://GDC_URL

    Ersetzen Sie GDC_URL durch die URL Ihrer Organisation.

  2. Generieren Sie die kubeconfig-Datei, um mit der aktiven Dienstidentität auf einen Cluster zuzugreifen:

    • Für einen zonalen Cluster:

      export KUBECONFIG=KUBECONFIG_PATH
gdcloud clusters get-credentials CLUSTER_NAME --zone ZONE

      Ersetzen Sie Folgendes:

      • KUBECONFIG_PATH: Der Pfad, unter dem Sie die generierte kubeconfig-Datei speichern möchten.

      • CLUSTER_NAME: Der Name des zonalen Clusters.

      • ZONE: der Name der Zone, in der sich der Cluster befindet.

    • Für den globalen API-Server:

      export KUBECONFIG=KUBECONFIG_PATH
gdcloud clusters get-credentials global-api

      Ersetzen Sie KUBECONFIG_PATH durch den Pfad, in dem Sie die generierte kubeconfig-Datei speichern möchten.

Es wird eine kubeconfig-Datei generiert, die für die Authentifizierung als Dienstidentität konfiguriert ist. Unten sehen Sie ein Beispiel für eine YAML-Datei:

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: <REDACTED>
    server: <REDACTED>
  name: cluster-name
contexts:
- context:
    cluster: cluster-name
    user: gdch_console-<REDACTED>_cluster-name
  name: cluster-name-gdch_console-<REDACTED>_cluster-name
current-context: cluster-name-gdch_console-gdc1-staging-gpcdemolabs-com_cluster-name
kind: Config
preferences: {}
users:
- name: gdch_console-<REDACTED>_cluster-name
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1
      args:
      - --audience=<REDACTED>
      command: gdcloud-k8s-auth-plugin
      env: null
      installHint: Run 'gdcloud components install gdcloud-k8s-auth-plugin' to use
        plugin
      interactiveMode: Never
      provideClusterInfo: false

Dienstidentität löschen

Wenn Sie eine Dienstidentität löschen, werden die ProjectServiceAccount und die zugehörigen öffentlichen Schlüssel gelöscht, vorhandene private Schlüssel werden ungültig und Anwendungen haben über diese Dienstidentität keinen Zugriff mehr auf Projektressourcen.

Verwenden Sie zum Löschen einer Dienstidentität die GDC-Konsole oder die gdcloud CLI.

Console

  1. Melden Sie sich in der GDC-Konsole an.
  2. Wählen Sie im Navigationsmenü Identität & Zugriff > Dienstidentitäten aus.
  3. Klicken Sie auf das Kästchen neben der Dienstidentität, die Sie löschen möchten.
  4. Klicken Sie auf Löschen.
  5. Das Bestätigungsdialogfeld wird angezeigt. Geben Sie im Feld Bestätigen Sie das Löschen durch folgende Eingabe den Wert remove ein.
  6. Klicken Sie auf Löschen.

gdcloud

Führen Sie den folgenden Befehl aus, um eine Dienstidentität zu löschen:

gdcloud iam service-accounts delete NAME \
    --project=PROJECT

Ersetzen Sie Folgendes:

  • NAME: Der Name des Dienstidentitätskontos, das gelöscht werden soll.
  • PROJECT: Projekt-ID.

Anmeldedaten löschen

Wenn Sie ein bestimmtes Schlüsselpaar deaktivieren möchten, ohne das gesamte Dienstidentitätskonto zu löschen, können Sie den öffentlichen Schlüssel aus dem Konto der Dienstidentität löschen. Durch diese Aktion wird der entsprechende private Schlüssel ungültig.

Verwenden Sie zum Löschen des öffentlichen Schlüssels die GDC Console oder die gdcloud CLI.

Console

  1. Melden Sie sich in der GDC-Konsole an.
  2. Wählen Sie im Navigationsmenü Identität & Zugriff > Dienstidentitäten aus.
  3. Klicken Sie auf den Namen der Dienstidentität, die den Schlüssel enthält, den Sie löschen möchten.
  4. Klicken Sie auf Löschen.
  5. Klicken Sie im Bestätigungsdialogfeld auf Löschen.

gdcloud

Entfernen Sie den öffentlichen Schlüssel mit der Schlüssel-ID aus einem Dienstidentitätskonto im Projekt:

gdcloud iam service-accounts keys delete KEY_ID \
    --project=PROJECT \
    --iam-account=NAME

Ersetzen Sie Folgendes:

  • KEY_ID: die eindeutige Kennung des Schlüssels.
  • PROJECT: Projekt-ID.
  • NAME: der Name des Dienstidentitätskontos.