Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Dienstkonto

Ein Dienstkonto ist eine spezielle Art von Google-Konto, das von Anwendungen oder Compute-Arbeitslasten und nicht von einzelnen Nutzern für autorisierte API-Aufrufe verwendet wird. Jedes Dienstkonto wird eindeutig durch eine E-Mail-Adresse identifiziert. Anwendungen können sich als das Dienstkonto selbst authentifizieren und so Zugriff auf alle Ressourcen erhalten, für die das Dienstkonto Berechtigungen hat. Eine gängige Methode ist, ein Dienstkonto an eine Ressource wie eine Compute Engine-Instanz anzuhängen.

Es gibt verschiedene Arten von Dienstkonten in Google Cloud, darunter nutzerverwaltete Dienstkonten, die Sie erstellen, Standarddienstkonten, die automatisch von bestimmten Diensten erstellt werden, und Dienst-Agents, die von Google Cloud verwaltet werden, um in Ihrem Namen zu handeln. Anwendungen können kurzlebige Anmeldedaten abrufen oder, weniger sicher, Dienstkontoschlüssel zur Authentifizierung verwenden.

Dienstkonten fungieren in IAM sowohl als Hauptkonten als auch als Ressourcen. Als Hauptkonten können Sie ihnen Rollen zuweisen, um auf Google Cloud -Ressourcen zuzugreifen. Als Ressourcen können Sie anderen Hauptkonten Berechtigungen für die Interaktion mit dem Dienstkonto erteilen, z. B. einem Nutzer erlauben, die Identität des Dienstkontos zu übernehmen.

Es wird empfohlen, das Dienstkonto im selben Projekt wie den Connector zu erstellen. Weitere Informationen finden Sie unter Dienstkonto erstellen.

Hinweis:Wenn Sie ein Dienstkonto aus einem anderen Google Cloud-Projekt als dem verwenden, in dem Ihre Verbindung konfiguriert ist, wird möglicherweise ein PERMISSION_DENIED-Fehler mit der Meldung „Berechtigung iam.serviceAccounts.getAccessToken verweigert“ angezeigt. Dieser Fehler tritt auf, weil die Standardberechtigungen, die dem Integration Connectors-Dienst-Agent (P4SA) gewährt werden, nicht projektübergreifend sind. Weisen Sie dem Integration Connectors-Dienst-Agent im Projekt, das das Dienstkonto enthält, die Rolle Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) zu, um das Problem zu beheben. Weitere Informationen finden Sie unter Dienstkonto.