//

Akun layanan |  | Dokumentasi Mesin Komputasi  Google Cloud

  • Bagikan

9k=

Halaman ini menjelaskan tagihan operator Compute Engine dan accountpermissions layanan, yang dapat dibatasi dengan menggunakan masing-masing masuk ke ruang lingkup yang berlatih untuk VMinstances, dan peran Identity and Access Management (IAM) yang berlatih untuk serviceaccounts. Untuk mempelajari cara membuat dan menggunakan hutang layanan, pelajari tagihan layanan yang berkembang dan memungkinkan untuk contoh-kasus yang tidak berdokumen.

File-file berikut menggambarkan praktik berkualitas tinggi untuk penggunaan dan mengamankan tagihan layanan:

  • Praktik terbaik untuk penggunaan dan mengatasi akun penyedia
  • Praktik terbaik untuk mengamankan akun layanan

Akun penyedia adalah akun khusus yang dapat digunakan dengan penawaran dan aplikasi berjalan untuk contoh Compute Engine Anda untuk terlibat dengan API Google Cloud lainnya. Aplikasi dapat menggunakan accountcredentials layanan untuk mengotorisasi diri mereka sendiri ke satu set API dan melakukan tindakan dengan izin yang diberikan ke akun layanan dan machineinstance digital. Selain itu, Anda dapat membuat aturan firewall yang memungkinkan atau menolak pengunjung ke dan dari instans yang sepenuhnya didasarkan pada akun layanan yang Anda kaitkan dengan masing-masing. Cobalah untuk diri sendiri

Jika Anda baru mengenal Google Cloud, buat akun untuk menilai bagaimanaCompute Engine diputar di dunia nyata. Pelanggan baru juga mendapatkan $three ratus kredit gratis untuk menjalankan, melihat, dan memindahkan beban kerja.

Coba Compute Engine freeApa itu akun provider?

Akun layanan adalah identitas yang dapat digunakan Google Cloud untuk menjalankan permintaan API atas nama Anda.

Dalam konteks Compute Engine, identifikasi ini digunakan untuk mengidentifikasi aplikasi yang mengarah ke instans gadget digital Anda ke berbagai layanan Google Cloud. Misalnya, jika Anda menulis aplikasi yang membaca dan menulis file di PenyimpananCloud, pertama-tama harus mengautentikasi ke API Penyimpanan Cloud. Anda dapat membuat akun penyedia dan memberikan akun penyedia hak masuk ke API PenyimpananCloud. Kemudian ganti aplikasi Anda untuk memotong akun penyedia ke Cloud Storage API. Aplikasi Anda mengautentikasi dengan mulus ke API tanpa menyematkan kunci misteri atau kredensial pengguna ke contoh, , atau kode aplikasi Anda.

Jika tagihan operator Anda memiliki izin IAM yang penting, serviceaccounts dapat membuat dan memanipulasi instans dan sumber daya yang berbeda. Serviceaccounts dapat mengubah atau menghapus sumber daya hanya jika Anda memberikan izinIAM yang diperlukan ke akun penyedia pada tingkat usaha atau sumber daya yang berguna. Anda juga dapat memperdagangkan akun operator apa yang terkait dengan suatu contoh.

Sebuah contoh mungkin memiliki akun operator yang paling handiest.

Dua jenis akun layanan harus dimiliki untuk Compute Engineinstances:

  • Akun operator yang dikelola pengguna
  • Akun operator yang dikendalikan Google

Utang layanan yang dikendalikan pengguna

Utang operator yang dikendalikan pengguna termasuk tagihan penyedia baru yang Anda buat secara eksplisit dan akun operator default Compute Engine. Utang penyedia baru

Anda dapat membuat dan mengelola akun penyedia pribadi Anda menggunakanIdentity dan Access Management. Setelah Anda membuat akun, berikan peran IAM akun dan atur waktu untuk dijalankan sebagai akun layanan. Aplikasi yang berjalan pada waktu yang diaktifkan dengan serviceaccount dapat menggunakan kredensial akun untuk membuat permintaan ke API Google lainnya.

Untuk membuat dan membuat akun operator baru, lihat Membuat dan mengizinkan tagihan penyedia untuk beberapa kasus. Akun layanan default Compute Engine

Tugas baru yang telah digunakanCompute Engine API memiliki serviceaccount default Compute Engine, yang memiliki email berikut:

PROJECT_NUMBER-compute@developer.gserviceaccount.com

Google membuat akun operator default Compute Engine dan menambahkannya ke proyek Anda secara otomatis tetapi Anda memiliki kontrol penuh atas akun tersebut.

Akun operator default Compute Engine dibuat dengan posisi editor yang terbukti, tetapi Anda dapat mengubah peran akun penyedia Anda untuk mengontrol akses akun penyedia ke API Google.

Anda dapat menonaktifkan atau menghapus akun operator ini dari tugas Anda, tetapi melakukan motif somight setiap program yang bergantung pada kredensial akun operator. Jika Anda secara tidak sengaja menghapus serviceaccount default Compute Engine, Anda dapat mencoba memulihkan akun dalam waktu 30 hari. Untuk informasi lebih lanjut, lihat Bereasi dan mengatasi uang layanan yang terutang.

Singkatnya, akun penyedia default Compute Engine memiliki atribut berikut:

  • Secara otomatis dibuat melalui misi Google Cloud Console dan memiliki panggilan dan alamat email yang anautogenerated.
  • Diperkenalkan secara otomatis dalam proyek Anda dengan editor penugasan IAM.
  • Diaktifkan dengan bantuan default setiap saat yang dibuat oleh baris perintah gcloud tooland Cloud Console. Anda dapat mengesampingkan ini dengan menentukan akun layanan lain saat mengembangkan instans atau dengan cara menonaktifkan serviceaccounts secara eksplisit untuk contoh tersebut.

Mengaitkan akun operator ke contoh

Saat Anda membuat instans menggunakan perangkat baris perintah gcloud atau Konsol Cloud Google, Anda dapat menentukan akun operator mana yang digunakan instans saat memanggil API Google Cloud. Instans ini secara otomatis dikonfigurasi dengan lingkup akses berikutnya:

  • Akses paling mudah ke Penyimpanan Cloud:
    https://www.googleapis.com/auth/devstorage.read_only
  • Tulis hak masuk untuk menuliskan log Compute Engine:
    https://www.googleapis.com/auth/logging.write
  • Tulis masuk untuk mengirimkan catatan metrik ke proyek Google Cloud Anda:
    https://www.googleapis.com/auth/tracking.write
  • Baca-paling efektif dapatkan hak masuk ke fitur Manajemen Layanan yang diperlukan untuk Google CloudEndpoints (Alpha):
    https://www.googleapis.com/auth/provider.management.readonly
  • Baca/tulis dapatkan hak masuk ke kemampuan Kontrol Layanan yang diperlukan untuk Google CloudEndpoints(Alpha):
    https://www.googleapis.com/auth/servicecontrol

Cakupan akses menentukan lingkup OAuth default untuk permintaan yang dibuat melalui pustaka dan gcloud. Akibatnya, mereka pasti membatasi masuk ke APImethods sambil mengautentikasi melalui OAuth. Namun, mereka tidak memperbesar protokol lain sepertiGRPC. Akibatnya, bestpractice adalah agar seseorang dapat mengatur cakupan cloud-platformaccess total pada instans, kemudian mengontrol akses akun operator Anda dengan memberikan peran IAM ke akun layanan. Lihat Izin akun layanan untuk info.

Saat Anda membuat contoh dengan membuat permintaan ke API sekaligus tanpa menggunakan perangkat baris perintah gcloud atau Konsol Google Cloud, serviceaccount default tidak lagi diaktifkan dengan instans. Namun, Anda masih dapat mengaktifkan akun operator default melalui secara eksplisit menentukannya sebagai bagian dari requestpayload. Tagihan penyedia yang dikendalikan Google

Akun layanan ini (kadang-kadang disebut sebagai pemasar layanan) dibuat dan dikendalikan dengan menggunakan Google dan bertanda tangan pada proyek Anda secara rutin. Utang ini merupakan penawaran Google yang berbeda dan setiap akun memiliki beberapa tingkat hak masuk ke tantangan Cloud Anda. Agen Layanan Google API

Terlepas dari akun layanan default, semua proyek yang diaktifkan denganCompute Engine menyertakan Agen Layanan API Google, yang dapat diidentifikasi penggunaan email:

PROJECT_NUMBER@cloudservices.gserviceaccount.com

Akun layanan ini dirancang khusus untuk menjalankan inner Googleprocesses atas nama Anda. Akun ini dimiliki melalui Google dan tidak terdaftar dalam fase Akun Layanan Cloud Console. Secara default, theaccount secara rutin diberikan fungsi editor usaha pada tantangan dan terdaftar dalam fase IAM Cloud Console. Akun operator ini hanya dihapus saat tugas dihapus. Namun, Anda dapat mengubah peran yang diberikan ke akun ini, yang termasuk mencabut semua akses ke tantangan Anda.

Aset tertentu bergantung pada akun layanan ini dan editor default yang diberikan ke akun penyedia. Misalnya, grup instans terkontrol dan perhitungan otomatis menggunakan kredensial akun ini untuk membuat, menghapus, dan mengelola waktu. Jika Anda mencabut izin ke akun layanan, ataumodifikasi izin sedemikian rupa sehingga tidak memberikan izin untuk membuat instance, ini mungkin bertujuan mengendalikan perusahaan contoh dan memperbaiki tostop beroperasi.

Untuk alasan ini, Anda tidak perlu mengubah peran akun penyedia ini sampai rekomendasi pembebasan bersyarat secara eksplisit menunjukkan bahwa Anda mengaturnya. Agen Layanan Mesin Komputasi

Semua proyek yang telah mengaktifkanCompute Engine API memiliki Compute Engine ServiceAgent, yang memiliki email berikut:

service-PROJECT_NUMBER@compute-device.iam.gserviceaccount.com

Akun penyedia ini dirancang khusus untukCompute Engine untuk melaksanakan tugas operatornya untuk proyek Anda. Hal ini didasarkan pada Kebijakan IAM Agen Layanan yang diberikan pada Proyek Cloud Google Anda. Ini juga merupakan akun penyediaCompute Engine yang menggunakan toaccess akun operator milik pelanggan di VMinstances. Google memiliki akun ini, tetapi tepat pada tugas Anda. Thisaccount disembunyikan dari halaman IAM di theconsole kecuali Anda memilih Sertakan hadiah fungsi yang disediakan Google. Secara default, akun secara otomatis diberikan compute.serviceAgentrole untuk tugas Anda.

  • Bagikan