Dienstaktivierung verwalten

Mit der hierarchischen Dienstaktivierung können Sie die Dienstaktivierung verwalten, die über die Google Cloud -Ressourcenhierarchie übernommen wird. Weitere Informationen finden Sie in der Übersicht.

In diesem Dokument wird beschrieben, wie Sie mit der Google Cloud CLI die Aktivierung von Diensten für Projekte, Ordner und Organisationen verwalten.

Hinweise

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

• Create a Google Cloud project:

  gcloud projects create PROJECT_ID

  Replace PROJECT_ID with a name for the Google Cloud project you are creating.

• Select the Google Cloud project that you created:

  gcloud config set project PROJECT_ID

  Replace PROJECT_ID with your Google Cloud project name.

Wenn Sie für diese Anleitung ein vorhandenes Projekt verwenden, prüfen Sie, ob Sie die erforderlichen Berechtigungen haben. Wenn Sie ein neues Projekt erstellt haben, haben Sie bereits die erforderlichen Berechtigungen.

Verify that billing is enabled for your Google Cloud project.

Enable the Service Usage API:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable serviceusage.googleapis.com

Install the Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

• Create a Google Cloud project:

  gcloud projects create PROJECT_ID

  Replace PROJECT_ID with a name for the Google Cloud project you are creating.

• Select the Google Cloud project that you created:

  gcloud config set project PROJECT_ID

  Replace PROJECT_ID with your Google Cloud project name.

Wenn Sie für diese Anleitung ein vorhandenes Projekt verwenden, prüfen Sie, ob Sie die erforderlichen Berechtigungen haben. Wenn Sie ein neues Projekt erstellt haben, haben Sie bereits die erforderlichen Berechtigungen.

Verify that billing is enabled for your Google Cloud project.

Enable the Service Usage API:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable serviceusage.googleapis.com

1. Wenn Sie die Google Cloud Ressource, die Sie verwalten möchten, nicht angeben, wird in den Befehlen in diesem Dokument standardmäßig das aktuelle Projekt verwendet. Mit gcloud beta services list --enabled wird beispielsweise eine Liste der aktivierten Dienste für das aktuelle Projekt zurückgegeben.

   Sie können die aktuelle Projekt-ID abrufen:

   gcloud config list --format='text(core.project)'

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Service Usage Admin (roles/serviceusage.serviceUsageAdmin) für die Zielressource zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten der Dienstaktivierung benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten der Dienstaktivierung erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um die Aktivierung von Diensten zu verwalten:

• Dienste auflisten:
  • serviceusage.effectivepolicy.get
  • serviceusage.services.list
  • serviceusage.services.get
• Dienste aktivieren:
  • serviceusage.consumerpolicy.get
  • serviceusage.consumerpolicy.update
  • serviceusage.groups.listExpandedMembers
• Dienste deaktivieren:
  • serviceusage.consumerpolicy.get
  • serviceusage.consumerpolicy.update
  • serviceusage.consumerpolicy.analyze

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Dienste auflisten

Mit dem Befehl gcloud beta services list können Sie die Google-APIs und -Dienste auflisten, die für ein Projekt, einen Ordner oder eine Organisation aktiviert oder verfügbar sind.

Die Aktivierung und Verfügbarkeit von Diensten kann von übergeordneten Ressourcen übernommen werden. Die aktivierten Dienste einer Ressource umfassen Dienste, die für die Ressource selbst und für alle übergeordneten Ressourcen aktiviert sind.

Projekt

gcloud beta services list --enabled \
    --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch Ihre Google Cloud Projekt-ID. Oder lassen Sie das Flag weg, um das aktuelle Projekt als Standard festzulegen.

Ordner

gcloud beta services list --enabled \
    --folder=FOLDER_ID

Ersetzen Sie FOLDER_ID durch Ihre Google Cloud Ordner-ID.

Organisation

gcloud beta services list --enabled \
    --organization=ORGANIZATION_ID

Ersetzen Sie ORGANIZATION_ID durch die Google Cloud Organisationsressourcen-ID.

Wichtige Hinweise:

• Sie müssen eines der folgenden Flags angeben:

  • --available, um Dienste aufzulisten, die für die Nutzung aktiviert werden können.
  • --enabled, um die Dienste aufzulisten, die aktiviert sind.

• Mit anderen Flags können Sie die aufgeführten Dienste filtern und einschränken.

Dienste aktivieren

Sie können einen oder mehrere Dienste für ein Projekt, einen Ordner oder eine Organisation aktivieren, indem Sie den Befehl gcloud beta services enable verwenden.

Mit diesem Befehl wird ConsumerPolicy in der Zielressource aktualisiert. Weitere Informationen finden Sie unter Nutzerrichtlinien verwalten.

Projekt

gcloud beta services enable SERVICE \
    --project=PROJECT_ID

Ersetzen Sie Folgendes:

• SERVICE: Der Name des Dienstes, den Sie aktivieren möchten. Wenn Sie mehrere Dienste aktivieren möchten, verwenden Sie durch Leerzeichen getrennte Dienstnamen. Mit dem folgenden Befehl werden beispielsweise sowohl die API-Schlüssel als auch die BigQuery-Dienste aktiviert: gcloud beta services enable apikeys.googleapis.com bigquery.googleapis.com.
• PROJECT_ID: Ihre Google Cloud Projekt-ID. Oder lassen Sie das Flag weg, um das aktuelle Projekt als Standard festzulegen.

Ordner

gcloud beta services enable SERVICE \
    --folder=FOLDER_ID

Ersetzen Sie Folgendes:

• SERVICE: Der Name des Dienstes, den Sie aktivieren möchten. Wenn Sie mehrere Dienste aktivieren möchten, verwenden Sie durch Leerzeichen getrennte Dienstnamen, z. B. gcloud beta services enable apikeys.googleapis.com bigquery.googleapis.com.
• FOLDER_ID: Ihre Google Cloud Ordner-ID.

Organisation

gcloud beta services enable SERVICE \
    --organization=ORGANIZATION_ID

Ersetzen Sie Folgendes:

• SERVICE: Der Name des Dienstes, den Sie aktivieren möchten. Wenn Sie mehrere Dienste aktivieren möchten, verwenden Sie durch Leerzeichen getrennte Dienstnamen, z. B. gcloud beta services enable apikeys.googleapis.com bigquery.googleapis.com.
• ORGANIZATION_ID: Ihre Google Cloud Organisations-ID.

Unterstützte Flags:

• --async, um sofort zurückzukehren, ohne auf den Abschluss des Vorgangs zu warten.

• --skip-dependency, um das Aktivieren von Dienstabhängigkeiten zu überspringen. Andernfalls sind alle Dienstabhängigkeiten standardmäßig aktiviert.

  Sie können Dienstabhängigkeiten prüfen. Weitere Informationen finden Sie unter Dienstabhängigkeiten auflisten.

• --validate-only, um die Aktivierung zu prüfen, ohne den Vorgang tatsächlich auszuführen.

Wichtige Hinweise:

• Wenn Sie versuchen, einen Dienst zu aktivieren, der bereits aktiviert ist, erhalten Sie eine Fehlermeldung, dass der Dienst bereits aktiviert ist und in der Richtlinie des Nutzers vorhanden ist. Wenn der Dienst bereits aktiviert ist, seine Abhängigkeiten jedoch nicht, wird der Befehl erfolgreich ausgeführt.

• Wenn Sie einen Dienst auf Ordner- oder Organisationsebene aktivieren, funktioniert die Einschränkung der Organisationsrichtlinie constraints/serviceuser.services möglicherweise nicht wie erwartet. Wir empfehlen stattdessen die Verwendung der Einschränkung „Ressourcendienstnutzung einschränken“. Weitere Informationen finden Sie unter Ressourcennutzung einschränken.

• Google Cloud erstellt und verwaltet Dienstkonten für vieleGoogle Cloud -Dienste. Diese Dienstkonten werden als Dienst-Agents bezeichnet. Wenn Sie auf einen service account not found-Fehler stoßen, müssen Sie möglicherweise mit dem Befehl gcloud beta services identity create ein Dienst-Agent erstellen.

Dienste deaktivieren

Sie können einen oder mehrere Dienste für ein Projekt, einen Ordner oder eine Organisation deaktivieren, indem Sie den Befehl gcloud beta services disable verwenden.

Mit diesem Befehl wird ConsumerPolicy in der Zielressource aktualisiert. Weitere Informationen finden Sie unter Nutzerrichtlinien verwalten.

einschränken.

Projekt

gcloud beta services disable SERVICE \
    --project=PROJECT_ID

Ersetzen Sie Folgendes:

• SERVICE: Der Name des Dienstes, den Sie deaktivieren möchten. Wenn Sie mehrere Dienste deaktivieren möchten, verwenden Sie durch Leerzeichen getrennte Dienstnamen, z. B. gcloud beta services disable apikeys.googleapis.com bigquery.googleapis.com.
• PROJECT_ID: Ihre Google Cloud Projekt-ID. Oder lassen Sie das Flag weg, um das aktuelle Projekt als Standard festzulegen.

Ordner

gcloud beta services disable SERVICE \
    --folder=FOLDER_ID

Ersetzen Sie Folgendes:

• SERVICE: Der Name des Dienstes, den Sie deaktivieren möchten. Wenn Sie mehrere Dienste deaktivieren möchten, verwenden Sie durch Leerzeichen getrennte Dienstnamen, z. B. gcloud beta services disable apikeys.googleapis.com bigquery.googleapis.com.
• FOLDER_ID: Ihre Google Cloud Ordner-ID.

Organisation

gcloud beta services disable SERVICE \
    --organization=ORGANIZATION_ID

Ersetzen Sie Folgendes:

• SERVICE: Der Name des Dienstes, den Sie deaktivieren möchten. Wenn Sie mehrere Dienste deaktivieren möchten, verwenden Sie durch Leerzeichen getrennte Dienstnamen, z. B. gcloud beta services disable apikeys.googleapis.com bigquery.googleapis.com.
• ORGANIZATION_ID: Ihre Google Cloud Organisations-Ressourcen-ID.

Unterstützte Flags:

• --async, um sofort zurückzukehren, ohne auf den Abschluss des Vorgangs zu warten.

• --bypass-api-usage-check, um Nutzungsprüfungen zu umgehen. Andernfalls gibt das System einen Fehler zurück, wenn der Dienst, den Sie deaktivieren möchten, in den letzten 30 Tagen verwendet oder in den letzten 3 Tagen aktiviert wurde.

• Sie können eines der folgenden Flags angeben:

  • --bypass-dependency-service-check, um die Prüfung auf Abhängigkeiten zu umgehen. Alle aktivierten Dienste, die von dem Dienst abhängen, den Sie deaktivieren, bleiben aktiviert.
  • --disable-dependency-services, um den Dienst und alle aktivierten Dienste, die von dem Dienst abhängen, den Sie deaktivieren, zu deaktivieren.

  Sie können Dienstabhängigkeiten prüfen. Weitere Informationen finden Sie unter Dienstabhängigkeiten auflisten.

• --force, um fortzufahren, auch wenn aktivierte Dienste vorhanden sind, die vom Dienst abhängen, oder der Dienst in den letzten 30 Tagen verwendet oder in den letzten 3 Tagen aktiviert wurde. Alle abhängigen Dienste werden ebenfalls deaktiviert.

  Die Flags --bypass-api-usage-check, --bypass-dependency-service-check und --disable-dependency-services haben alle Vorrang vor dem Flag --force.

  Die Verwendung der Flags --disable-dependency-services und --bypass-api-usage-check entspricht der Verwendung des Flags --force. Der Dienst und seine Abhängigkeiten werden deaktiviert, ohne dass ihre Nutzung geprüft wird.

• --validate-only, um die Deaktivierung zu validieren, ohne den Vorgang tatsächlich auszuführen.

Beispiele

Dienst aktivieren

• BigQuery-Dienst ohne seine Abhängigkeiten aktivieren:

  gcloud beta services enable bigquery.googleapis.com --skip-dependency

  Ausgabe:

  Operation [operations/ucpat.p39-581601899707-73a57d57-aa46-4d0b-a5ee-57034a42f2b3] complete. Result: {
        "@type":"type.googleapis.com/google.api.serviceusage.with Hierarchical Service Activationbeta.ConsumerPolicy",
        "createTime":"2025-01-31T20:17:37.272343Z",
        "enableRules":[
            {
                "services":[
                    "services/apikeys.googleapis.com",
                    "services/compute.googleapis.com",
                    "services/oslogin.googleapis.com",
                    "services/serviceusage.googleapis.com",
                    "services/bigquery.googleapis.com"
                ]
            }
        ],
        "etag":"W/\"W9nsVJK0V1m7ee7tM7pFDg==\"",
        "name":"projects/PROJECT_ID/consumerPolicies/default",
        "updateTime":"2025-09-11T23:05:22.758394Z"
    }

• So aktivieren Sie den BigQuery-Dienst mit seinen Abhängigkeiten:

  gcloud beta services enable bigquery.googleapis.com

  Ausgabe:

  Operation [operations/ucpat.p39-581601899707-73192b0f-053c-46ee-911a-7eca6b8fe899] complete. Result: {
        "@type":"type.googleapis.com/google.api.serviceusage.with Hierarchical Service Activationbeta.ConsumerPolicy",
        "createTime":"2025-01-31T20:17:37.272343Z",
        "enableRules":[
            {
                "services":[
                    "services/apikeys.googleapis.com",
                    "services/compute.googleapis.com",
                    "services/oslogin.googleapis.com",
                    "services/serviceusage.googleapis.com",
                    "services/cloudresourcemanager.googleapis.com",
                    "services/dataplex.googleapis.com",
                    "services/bigquery.googleapis.com",
                    "services/bigquerystorage.googleapis.com",
                    "services/bigqueryconnection.googleapis.com",
                    "services/analyticshub.googleapis.com",
                    "services/bigquerymigration.googleapis.com",
                    "services/dataform.googleapis.com",
                    "services/bigquerydatapolicy.googleapis.com",
                    "services/bigquerydatatransfer.googleapis.com",
                    "services/bigqueryreservation.googleapis.com"
                ]
            }
        ],
        "etag":"W/\"FDXMAIdsBW7BrXjL7oP6FA==\"",
        "name":"projects/PROJECT_ID/consumerPolicies/default",
        "updateTime":"2025-09-12T19:44:23.675769Z"
    }

Dienst deaktivieren

• Versuch, den BigQuery-Dienst mit aktiven Abhängigkeiten zu deaktivieren:

  gcloud beta services disable bigquery.googleapis.com

  Fehlermeldung:

  ERROR: (gcloud.beta.services.disable) The services are depended on by the following active service(s) {"bigquery.googleapis.com": ["services/bigquerystorage.googleapis.com"]} . Please remove the active dependent services or provide the --disable-dependency-services flag to disable them, or --bypass-dependency-service-check to ignore this check.

• Versuch, den BigQuery-Dienst bei aktueller Nutzung zu deaktivieren:

  gcloud beta services disable bigquery.googleapis.com --disable-dependency-services

  Fehlermeldung:

  ERROR: (gcloud.beta.services.disable) The operation "operations/ucpat.p39-581601899707-d35c2e2b-d2a3-47af-a1c0-033ed65df236" resulted in a failure "The services bigquery.googleapis.com,bigquerystorage.googleapis.com have usage in the last 30 days or were enabled in the past 3 days. Please specify force if you want to proceed with the destructive policy change.

• BigQuery-Dienst und seine Abhängigkeiten deaktivieren und die Nutzungsprüfung umgehen:

  gcloud beta services disable bigquery.googleapis.com --disable-dependency-services --bypass-api-usage-check

  Ausgabe:

  Operation [operations/ucpat.p39-581601899707-5c02aa04-7ad7-4eb6-a6a1-dc68653bcdb4] complete. Result: {
      "@type":"type.googleapis.com/google.api.serviceusage.v2beta.ConsumerPolicy",
      "createTime":"2025-01-31T20:17:37.272343Z",
      "enableRules":[
          {
              "services":[
                  "services/analyticshub.googleapis.com",
                  "services/apikeys.googleapis.com",
                  "services/bigqueryconnection.googleapis.com",
                  "services/bigquerydatapolicy.googleapis.com",
                  "services/bigquerydatatransfer.googleapis.com",
                  "services/bigquerymigration.googleapis.com",
                  "services/bigqueryreservation.googleapis.com",
                  "services/cloudresourcemanager.googleapis.com",
                  "services/compute.googleapis.com",
                  "services/dataform.googleapis.com",
                  "services/dataplex.googleapis.com",
                  "services/oslogin.googleapis.com",
                  "services/serviceusage.googleapis.com"
              ]
          }
      ],
      "etag":"W/\"TqbPaELDHlZQOj7As1P06g==\"",
      "name":"projects/PROJECT_ID/consumerPolicies/default",
      "updateTime":"2025-09-30T21:39:40.746125Z"
  }

Nächste Schritte

• Informationen zum Verwalten von Richtlinien finden Sie unter Verbraucherrichtlinien verwalten.
• Informationen zum Untersuchen von Dienstabhängigkeiten finden Sie unter Dienstabhängigkeiten auflisten.