كيفية إنشاء حسابات الخدمة واستخدامها في Google Cloud Platform
حسابات الخدمة هي حسابات خاصة يمكن للتطبيقات والخوادم استخدامها للسماح لهم بالوصول إلى موارد Google Cloud Platform. يمكنك استخدامها لإدارة الوصول داخل حسابك ، وللتطبيقات الخارجية.
على سبيل المثال ، إذا كنت بحاجة إلى منح إذن تطبيق للكتابة إلى حاوية التخزين السحابي ، فيمكنك إنشاء حساب خدمة ، ومنح هذا الحساب إذنًا للكتابة إلى الحاوية ، ثم تمرير المصادقة باستخدام المفتاح الخاص لـ حساب الخدمة هذا. إذا كان التطبيق الذي تجري مصادقته على Compute Engine ، فيمكنك تعيين حساب خدمة للمثيل بالكامل ، والذي سيتم تطبيقه افتراضيًا لجميع طلبات واجهة برمجة التطبيقات
gcloud.
إنشاء حساب خدمة
توجه إلى IAM & Admin Console ، وانقر على "مستخدمي الخدمة" في الشريط الجانبي. من هنا يمكنك إنشاء حساب خدمة جديد أو إدارة الحسابات الموجودة.
إنشاء حساب خدمة جديد
قم بتسمية حساب الخدمة. سيستخدم حساب الخدمة
project-id.iam.gserviceaccount.comdomain كبريد إلكتروني ، وسيعمل كمستخدم عادي عند تعيين الأذونات. انقر فوق "إنشاء".
تعيين اسم لحساب الخدمة
إذا كنت تريد تعيين أذونات على مستوى المشروع ، والتي سيتم تطبيقها على كل مورد متأثر ، فيمكنك القيام بذلك من الشاشة التالية. على سبيل المثال ، يمكنك منحه أذونات قراءة على مستوى المشروع باستخدام "Viewer" ، أو منحه حق الوصول إلى خدمة معينة مثل Compute Engine.
إضافة أدوار لحساب الخدمة
في الشاشة التالية ، يمكنك منح المستخدمين الحاليين حق الوصول إما لاستخدام حساب الخدمة أو إدارته.
تعيين المسؤولين لحساب الخدمة
لمنح أذونات أكثر دقة ، يمكنك إضافة حساب الخدمة إلى الموارد التي يحتاجها للوصول ، مثل حالات Compute Engine المحددة ، عن طريق إضافة الحساب كعضو جديد في إعدادات "الأذونات" لـ مورد معين. بهذه الطريقة ، يمكنك منح حق الوصول إلى موارد محددة ، بدلاً من الأذونات على مستوى المشروع.
صورة
باستخدام حساب الخدمة
إذا كنت تستخدم داخليًا لخدمات Google Cloud Platform الأخرى ، فغالبًا ما يتم إعطاؤك خيارًا لتحديد حساب الخدمة. على سبيل المثال ، بالنسبة إلى Compute Engine ، ضمن إعدادات المثيل ، يمكنك تعيين حساب الخدمة الذي يستخدمه المحرك ، والذي سيتم استخدامه افتراضيًا لجميع طلبات CLI القادمة من المثيل.
صورة
إذا كنت تريد مصادقة خدمة لا تعمل على Compute Engine ، أو لا تريد تعيين حساب الخدمة للمثيل بأكمله ، فسيلزمك إنشاء مفتاح وصول لحساب الخدمة. يمكنك القيام بذلك من إعدادات حساب الخدمة في وحدة تحكم IAM ؛ انقر على "إنشاء مفتاح" ، وسيُتاح لك خيار تنزيل مفتاح JSON لحساب الخدمة.
إنشاء مفتاح جديد
بعد ذلك ، يمكنك تمرير هذا المفتاح إلى واجهة برمجة التطبيقات ، عادةً عن طريق تعيين متغير البيئة
GOOGLE_APPLICATION_CREDENTIALS. تحتوي بيانات الاعتماد هذه على البريد الإلكتروني والمعرف لحساب الخدمة ، وكل ما تحتاجه لإعداد اتصال بين تطبيقك و GCP.
