Questa pagina spiega come creare service account utilizzando l'API Identity and Access Management (IAM), la console Trusted Cloud e lo strumento a riga di comando gcloud.
Per impostazione predefinita, ogni progetto può avere fino a 100 service account che controllano l'accesso alle tue risorse. Se necessario, puoi richiedere un aumento della quota. Scopri di più su quote e limiti.
Prima di iniziare
Enable the IAM API.
Configurare l'autenticazione.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.
gcloud
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata. Dopo aver eseguito l'accesso, inizializza Google Cloud CLI eseguendo il seguente comando:
gcloud initC#
Per utilizzare gli esempi di .NET questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Trusted Cloud .
C++
Per utilizzare gli esempi di C++ questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Trusted Cloud .
Vai
Per utilizzare gli esempi di Go questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Trusted Cloud .
Java
Per utilizzare gli esempi di Java questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Trusted Cloud .
Python
Per utilizzare gli esempi di Python questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Create local authentication credentials for your user account:
gcloud auth application-default login
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Trusted Cloud .
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, devi utilizzare le credenziali che fornisci a gcloud CLI.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata.
Per saperne di più, consulta Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Trusted Cloud .
Informazioni sui service account IAM
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare service account, chiedi all'amministratore di concederti il ruolo IAM Creazione service account (
roles/iam.serviceAccountCreator) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Se vuoi concedere agli account di servizio appena creati l'accesso al tuo progetto, devi disporre anche del ruolo Amministratore IAM progetto (
roles/resourcemanager.projectIamAdmin).Crea un account di servizio
Quando crei un account di servizio, devi fornire un ID alfanumerico (
SERVICE_ACCOUNT_NAMEnegli esempi riportati di seguito), ad esempiomy-service-account. L'ID deve essere compreso tra 6 e 30 caratteri e può contenere caratteri alfanumerici minuscoli e trattini. Una volta creato un account di servizio, non puoi modificarne il nome.Il nome del account di servizio viene visualizzato nell'indirizzo email di cui viene eseguito il provisioning durante la creazione, nel formato
SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com.Ogni account di servizio ha anche un ID numerico univoco permanente, generato automaticamente.
Quando crei un account di servizio, fornisci anche le seguenti informazioni:
DESCRIPTIONè una descrizione facoltativa per il account di serviziot.DISPLAY_NAMEè un nome intuitivo per il service account.PROJECT_IDè l'ID del tuo progetto Trusted Cloud by S3NS .
Dopo aver creato un account di servizio, potresti dover attendere 60 secondi o più prima di utilizzarlo. Questo comportamento si verifica perché le operazioni di lettura sono coerenti nel tempo; potrebbe essere necessario del tempo prima che il nuovaccount di serviziont diventi visibile. Se provi a leggere o utilizzare un account di servizio subito dopo averlo creato e ricevi un errore, puoi riprovare a inviare la richiesta con il backoff esponenziale.
Console
- Nella console Trusted Cloud vai a Crea service account.
- Seleziona un Trusted Cloud progetto.
- Inserisci il nome di un service account da visualizzare nella Trusted Cloud console.
La Trusted Cloud console genera un ID service account in base a questo nome. Modifica l'ID, se necessario. Non potrai modificare l'ID in un secondo momento.
- (Facoltativo) Inserisci una descrizione del service account.
- Se non vuoi impostare i controlli dell'accesso, fai clic su Fine per completare la creazione del service account. Per impostare i controlli dell'accesso ora, fai clic su Crea e continua e vai al passaggio successivo.
- (Facoltativo) Scegli uno o più ruoli IAM da concedere al service account nel progetto.
- Quando hai finito di aggiungere i ruoli, fai clic su Continua.
- (Facoltativo) Nel campo Ruolo degli utenti del service account, aggiungi i membri che devono collegare il service account ad altre risorse.
- (Facoltativo) Nel campo Ruolo degli amministratori del service account, aggiungi i membri che devono gestire il service account.
- Fai clic su Fine per completare la creazione del service account.
gcloud
-
In the Trusted Cloud console, activate Cloud Shell.
At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
Per creare il account di servizio, esegui il comando
gcloud iam service-accounts create:gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --description="DESCRIPTION" \ --display-name="DISPLAY_NAME"
Sostituisci i seguenti valori:
-
SERVICE_ACCOUNT_NAME: il nome del account di servizio -
DESCRIPTION: una descrizione facoltativa del account di servizio -
DISPLAY_NAME: un nome del account di servizio da visualizzare nella Trusted Cloud console
-
-
(Facoltativo) Per concedere al tuo account di servizio un ruolo IAM nel tuo progetto, esegui il comando
gcloud projects add-iam-policy-binding:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com" \ --role="ROLE_NAME"
Sostituisci i seguenti valori:
-
PROJECT_ID: l'ID progetto -
SERVICE_ACCOUNT_NAME: il nome del account di servizio -
ROLE_NAME: un nome di ruolo, ad esempioroles/compute.osLogin
-
-
(Facoltativo) Per consentire agli utenti di collegare il account di servizio ad altre risorse, esegui il comando
gcloud iam service-accounts add-iam-policy-bindingper concedere a un utente il ruolo Service Account User (roles/iam.serviceAccountUser) nel account di servizio:gcloud iam service-accounts add-iam-policy-binding \ SERVICE_ACCOUNT_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com \ --member="user:USER_EMAIL" \ --role="roles/iam.serviceAccountUser"
Sostituisci i seguenti valori:
PROJECT_ID: l'ID progettoSERVICE_ACCOUNT_NAME: il nome del account di serviziotUSER_EMAIL: l'indirizzo email dell'utente
PROJECT_ID: il tuo ID progetto Trusted Cloud . Gli ID progetto sono stringhe alfanumeriche, comemy-project.SA_NAME: l'ID alfanumerico del account di servizio. Il nome deve essere compreso tra 6 e 30 caratteri e può contenere caratteri alfanumerici minuscoli e trattini.SA_DESCRIPTION: (Facoltativo) Una descrizione per ilaccount di serviziot.SA_DISPLAY_NAME: Un nome leggibile per ilaccount di serviziot.
C++
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per saperne di più, consulta la documentazione di riferimento dell'API IAM C++.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Prima di eseguire gli esempi di codice, imposta la variabile di ambiente
GOOGLE_CLOUD_UNIVERSE_DOMAINsus3nsapis.fr.C#
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per saperne di più, consulta la documentazione di riferimento dell'API IAM C#.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Prima di eseguire gli esempi di codice, imposta la variabile di ambiente
GOOGLE_CLOUD_UNIVERSE_DOMAINsus3nsapis.fr.Go
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per saperne di più, consulta la documentazione di riferimento dell'API IAM Go.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Prima di eseguire gli esempi di codice, imposta la variabile di ambiente
GOOGLE_CLOUD_UNIVERSE_DOMAINsus3nsapis.fr.Java
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per saperne di più, consulta la documentazione di riferimento dell'API IAM Java.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Prima di eseguire gli esempi di codice, imposta la variabile di ambiente
GOOGLE_CLOUD_UNIVERSE_DOMAINsus3nsapis.fr.Python
Per scoprire come installare e utilizzare la libreria client per IAM, consulta Librerie client IAM. Per saperne di più, consulta la documentazione di riferimento dell'API IAM Python.
Per autenticarti in IAM, configura le Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Prima di iniziare.
Prima di eseguire gli esempi di codice, imposta la variabile di ambiente
GOOGLE_CLOUD_UNIVERSE_DOMAINsus3nsapis.fr.REST
Il metodo
serviceAccounts.createcrea un account di servizio.Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
Metodo HTTP e URL:
POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts
Corpo JSON della richiesta:
{ "accountId": "SA_NAME", "serviceAccount": { "description": "SA_DESCRIPTION", "displayName": "SA_DISPLAY_NAME" } }Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/my-project/serviceAccounts/my-service-account@my-project.s3ns-system.iam.gserviceaccount.com", "projectId": "my-project", "uniqueId": "123456789012345678901", "email": "my-service-account@my-project.s3ns-system.iam.gserviceaccount.com", "displayName": "My service account", "etag": "BwUp3rVlzes=", "description": "A service account for running jobs in my project", "oauth2ClientId": "987654321098765432109" }Dopo aver creato un account di servizio, assegnagli uno o più ruoli in modo che possa agire per tuo conto.
Inoltre, se il account di servizio deve accedere alle risorse in altri progetti, in genere devi abilitare le API per queste risorse nel progetto in cui hai creato il account di servizio.
Passaggi successivi
- Scopri come elencare e modificare i service account.
- Esamina la procedura per concedere ruoli IAM a tutti i tipi di entità, inclusi i service account.
- Scopri come collegare i service account alle risorse.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-08-20 UTC.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Mancano le informazioni di cui ho bisogno","missingTheInformationINeed","thumb-down"],["Troppo complicato/troppi passaggi","tooComplicatedTooManySteps","thumb-down"],["Obsoleti","outOfDate","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Problema relativo a esempi/codice","samplesCodeIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-08-20 UTC."],[[["This document guides users through creating service accounts using the IAM API, Google Cloud console, and the `gcloud` command-line tool, offering various methods to suit different development environments."],["Each Google Cloud project can support up to 100 service accounts by default, but the ability to request a quota increase is provided for those who need more."],["Creating a service account involves providing an alphanumeric ID, an optional description, and a display name, and it is important to note that the service account ID cannot be changed once it is set."],["Before using the service account, a delay of 60 seconds or more may be required due to the eventual consistency of read operations, and a retry with exponential backoff can be used if encountering errors immediately after creation."],["To create a service account you need to have the Create Service Accounts role granted to you, and to grant access to the service accounts to other users, you will also need the Project IAM admin role."]]],[]]