Menghapus dan membatalkan penghapusan akun layanan

Halaman ini menjelaskan cara menghapus dan membatalkan penghapusan akun layanan menggunakan API Identity and Access Management (IAM), konsol Trusted Cloud , dan alat command line gcloud.

Sebelum memulai

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk menghapus dan membatalkan penghapusan akun layanan, minta administrator untuk memberi Anda peran IAM berikut pada project:

Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Untuk mempelajari lebih lanjut tentang peran ini, lihat Peran Akun Layanan.

Peran dasar IAM juga berisi izin untuk mengelola akun layanan. Anda tidak boleh memberikan peran dasar dalam lingkungan produksi, tetapi Anda dapat memberikannya dalam lingkungan pengembangan atau pengujian.

Menghapus akun layanan

Saat Anda menghapus akun layanan, aplikasi tidak akan lagi memiliki akses ke Trusted Cloud by S3NS resource melalui akun layanan tersebut. Jika Anda menghapus akun layanan Compute Engine default, instance VM Compute Engine yang menggunakan akun layanan tersebut tidak akan lagi memiliki akses ke resource dalam project.

Hapus akun layanan dengan hati-hati. Sebelum menghapusnya, pastikan aplikasi penting Anda tidak lagi menggunakan akun layanan. Jika Anda tidak yakin apakah akun layanan sedang digunakan, sebaiknya nonaktifkan akun layanan, bukan menghapusnya. Akun layanan yang dinonaktifkan dapat diaktifkan kembali jika masih diperlukan.

Jika ingin memulihkan akun layanan yang telah dihapus, Anda dapat membatalkan penghapusan akun tersebut, jika sudah 30 hari atau kurang sejak akun layanan dihapus. Setelah 30 hari, IAM akan menghapus akun layanan secara permanen. Trusted Cloud tidak dapat memulihkan akun layanan setelah dihapus secara permanen, meskipun Anda mengajukan permintaan dukungan.

Untuk mengurangi lebih lanjut risiko penghapusan akun layanan yang diperlukan, Anda juga dapat mengaktifkan rekomendasi risiko perubahan. Rekomendasi risiko perubahan akan memunculkan peringatan saat Anda mencoba menghapus akun layanan yang Trusted Cloud telah diidentifikasi sebagai penting.

Jika Anda menghapus akun layanan, lalu membuat akun layanan baru dengan nama yang sama, akun layanan baru tersebut akan diperlakukan sebagai identitas terpisah; akun ini tidak mewarisi peran yang diberikan ke akun layanan yang dihapus. Sebaliknya, jika Anda menghapus akun layanan, lalu membatalkan penghapusannya, identitas akun layanan tidak akan berubah, dan akun layanan tetap memiliki perannya.

Saat akun layanan dihapus, binding perannya tidak segera dihapus; mereka secara otomatis dihapus permanen dari sistem setelah maksimum 60 hari. Sampai saat itu, akun layanan muncul dalam binding peran dengan imbuhan deleted: dan akhiran ?uid=NUMERIC_ID, dengan NUMERIC_ID adalah ID numerik unik untuk akun layanan.

Akun layanan yang dihapus tidak mengurangi kuota akun layanan Anda.

Konsol

  1. Di konsol Trusted Cloud , buka halaman Service accounts.

    Buka halaman Service accounts

  2. Pilih project.

  3. Pilih akun layanan yang ingin Anda hapus, lalu klik Hapus .

gcloud

  1. In the Trusted Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Jalankan perintah gcloud iam service-accounts delete untuk menghapus akun layanan.

    Perintah:

    gcloud iam service-accounts delete \
    SA_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com

    Output:

    Deleted service account SA_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com

    3. C++

    Untuk mempelajari cara menginstal dan menggunakan library klien untuk IAM, lihat library klien IAM. Untuk informasi selengkapnya, lihat dokumentasi referensi API C++ IAM.

    Untuk melakukan autentikasi ke IAM, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

    Sebelum menjalankan contoh kode, tetapkan variabel lingkungan GOOGLE_CLOUD_UNIVERSE_DOMAIN ke s3nsapis.fr. 

    namespace iam = ::google::cloud::iam_admin_v1;
[](std::string const& name) {
  iam::IAMClient client(iam::MakeIAMConnection());
  auto response = client.DeleteServiceAccount(name);
  if (!response.ok()) throw std::runtime_error(response.message());
  std::cout << "ServiceAccount successfully deleted.\n";
}

    C#

    Untuk mempelajari cara menginstal dan menggunakan library klien untuk IAM, lihat library klien IAM. Untuk informasi selengkapnya, lihat dokumentasi referensi API C# IAM.

    Untuk melakukan autentikasi ke IAM, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

    Sebelum menjalankan contoh kode, tetapkan variabel lingkungan GOOGLE_CLOUD_UNIVERSE_DOMAIN ke s3nsapis.fr. 

    
using System;
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;

public partial class ServiceAccounts
{
    public static void DeleteServiceAccount(string email)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(IamService.Scope.CloudPlatform);
        var service = new IamService(new IamService.Initializer
        {
            HttpClientInitializer = credential
        });

        string resource = "projects/-/serviceAccounts/" + email;
        service.Projects.ServiceAccounts.Delete(resource).Execute();
        Console.WriteLine("Deleted service account: " + email);
    }
}

    Go

    Untuk mempelajari cara menginstal dan menggunakan library klien untuk IAM, lihat library klien IAM. Untuk informasi selengkapnya, lihat dokumentasi referensi API Go IAM.

    Untuk melakukan autentikasi ke IAM, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

    Sebelum menjalankan contoh kode, tetapkan variabel lingkungan GOOGLE_CLOUD_UNIVERSE_DOMAIN ke s3nsapis.fr. 

    import (
	"context"
	"fmt"
	"io"

	iam "google.golang.org/api/iam/v1"
)

// deleteServiceAccount deletes a service account.
func deleteServiceAccount(w io.Writer, email string) error {
	ctx := context.Background()
	service, err := iam.NewService(ctx)
	if err != nil {
		return fmt.Errorf("iam.NewService: %w", err)
	}

	_, err = service.Projects.ServiceAccounts.Delete("projects/-/serviceAccounts/" + email).Do()
	if err != nil {
		return fmt.Errorf("Projects.ServiceAccounts.Delete: %w", err)
	}
	fmt.Fprintf(w, "Deleted service account: %v", email)
	return nil
}

    Java

    Untuk mempelajari cara menginstal dan menggunakan library klien untuk IAM, lihat library klien IAM. Untuk informasi selengkapnya, lihat dokumentasi referensi API Java IAM.

    Untuk melakukan autentikasi ke IAM, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

    Sebelum menjalankan contoh kode, tetapkan variabel lingkungan GOOGLE_CLOUD_UNIVERSE_DOMAIN ke s3nsapis.fr. 

    import com.google.cloud.iam.admin.v1.IAMClient;
import com.google.iam.admin.v1.DeleteServiceAccountRequest;
import com.google.iam.admin.v1.ServiceAccountName;
import java.io.IOException;

public class DeleteServiceAccount {

  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    String projectId = "your-project-id";
    String serviceAccountName = "my-service-account-name";

    deleteServiceAccount(projectId, serviceAccountName);
  }

  // Deletes a service account.
  public static void deleteServiceAccount(String projectId, String serviceAccountName)
          throws IOException {
    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (IAMClient client = IAMClient.create()) {
      String accountName = ServiceAccountName.of(projectId, serviceAccountName).toString();
      String accountEmail = String.format("%s@%s.iam.gserviceaccount.com", accountName, projectId);
      DeleteServiceAccountRequest request = DeleteServiceAccountRequest.newBuilder()
              .setName(accountEmail)
              .build();
      client.deleteServiceAccount(request);

      System.out.println("Deleted service account: " + serviceAccountName);
    }
  }
}

    Python

    Untuk mempelajari cara menginstal dan menggunakan library klien untuk IAM, lihat library klien IAM. Untuk informasi selengkapnya, lihat dokumentasi referensi API Python IAM.

    Untuk melakukan autentikasi ke IAM, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Sebelum memulai.

    Sebelum menjalankan contoh kode, tetapkan variabel lingkungan GOOGLE_CLOUD_UNIVERSE_DOMAIN ke s3nsapis.fr. 

    from google.cloud import iam_admin_v1
from google.cloud.iam_admin_v1 import types


def delete_service_account(project_id: str, account: str) -> None:
    """Deletes a service account.

    project_id: ID or number of the Google Cloud project you want to use.
    account: ID or email which is unique identifier of the service account.
    """

    iam_admin_client = iam_admin_v1.IAMClient()
    request = types.DeleteServiceAccountRequest()
    request.name = f"projects/{project_id}/serviceAccounts/{account}"

    iam_admin_client.delete_service_account(request=request)
    print(f"Deleted a service account: {account}")

    REST

    Metode serviceAccounts.delete menghapus akun layanan.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: ID project Trusted Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.
    • SA_ID: ID akun layanan Anda. Ini dapat berupa alamat email akun layanan dalam format SA_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com, atau ID numerik unik akun layanan.

    Metode HTTP dan URL: 

    DELETE https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_ID

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Jika berhasil, isi respons akan kosong.

Membatalkan penghapusan akun layanan

Dalam beberapa kasus, Anda dapat menggunakan perintah undelete untuk membatalkan penghapusan akun layanan yang dihapus. Anda biasanya dapat membatalkan penghapusan akun layanan yang dihapus jika memenuhi kriteria berikut:

  • Akun layanan dihapus kurang dari 30 hari yang lalu.

    Setelah 30 hari, IAM akan menghapus akun layanan secara permanen. Trusted Cloud tidak dapat memulihkan akun layanan setelah dihapus secara permanen, meskipun Anda mengajukan permintaan dukungan.

  • Tidak ada akun layanan dengan nama yang sama seperti akun layanan yang dihapus.

    Misalnya, Anda tidak sengaja menghapus akun layanan my-service-account@project-id.s3ns-system.iam.gserviceaccount.com. Anda masih memerlukan akun layanan dengan nama tersebut, jadi Anda membuat akun layanan baru dengan nama yang sama, my-service-account@project-id.s3ns-system.iam.gserviceaccount.com.

    Akun layanan baru tidak mewarisi izin dari akun layanan yang dihapus. Akibatnya, akun layanan ini sepenuhnya terpisah dari akun layanan yang dihapus. Namun, Anda tidak dapat membatalkan penghapusan akun layanan asli karena akun layanan yang baru memiliki nama yang sama.

    Untuk mengatasi masalah ini, hapus akun layanan baru, lalu coba batalkan penghapusan akun layanan asli.

Jika tidak dapat membatalkan penghapusan akun layanan, Anda dapat membuat akun layanan baru dengan nama yang sama; mencabut semua peran dari akun layanan yang dihapus; dan memberikan peran yang sama ke akun layanan yang baru. Untuk mengetahui detailnya, lihat Kebijakan dengan akun utama yang dihapus.

Menemukan ID numerik akun layanan yang dihapus

Saat membatalkan penghapusan akun layanan, Anda harus memberikan ID numeriknya. ID numerik adalah angka 21 digit, seperti 123456789012345678901, yang mengidentifikasi akun layanan secara unik. Misalnya, jika Anda menghapus akun layanan, lalu membuat akun layanan baru dengan nama yang sama, akun layanan asli dan akun layanan baru akan memiliki ID numerik yang berbeda.

Jika mengetahui bahwa binding dalam kebijakan izinkan mencakup akun layanan yang dihapus, Anda bisa mendapatkan kebijakan izinkan, lalu menemukan ID numerik di kebijakan izinkan. ID numerik ditambahkan ke nama akun layanan yang dihapus. Misalnya, dalam kebijakan izin ini, ID numerik untuk akun layanan yang dihapus adalah 123456789012345678901:

{
  "version": 1,
  "etag": "BwUjMhCsNvY=",
  "bindings": [
    {
      "members": [
        "deleted:serviceAccount:my-service-account@project-id.s3ns-system.iam.gserviceaccount.com?uid=123456789012345678901"
      ],
      "role": "roles/iam.serviceAccountUser"
    },
  ]
}

ID numerik hanya ditambahkan ke nama akun utama yang dihapus.

Atau, Anda dapat menelusuri operasi DeleteServiceAccount yang menghapus akun layanan di log audit:

  1. Di konsol Trusted Cloud , buka halaman Logs Explorer.

    Buka Logs Explorer

  2. Di editor kueri, masukkan kueri berikut, dengan mengganti SERVICE_ACCOUNT_EMAIL dengan alamat email akun layanan Anda (misalnya, my-service-account@project-id.s3ns-system.iam.gserviceaccount.com):

    resource.type="service_account"
resource.labels.email_id="SERVICE_ACCOUNT_EMAIL"
"DeleteServiceAccount"

  3. Jika akun layanan dihapus lebih dari satu jam yang lalu, klik schedule 1 jam terakhir, pilih jangka waktu yang lebih lama dari menu drop-down, lalu klik Terapkan.

  4. Klik Jalankan kueri. Logs Explorer menampilkan operasi DeleteServiceAccount yang memengaruhi akun layanan dengan nama yang Anda tentukan.

  5. Temukan dan catat ID numerik akun layanan yang dihapus dengan melakukan salah satu hal berikut:

    • Jika hasil penelusuran hanya menyertakan satu operasi DeleteServiceAccount, cari ID numerik di kolom ID unik pada panel Kolom log.

    • Jika hasil penelusuran menampilkan lebih dari satu log, lakukan hal berikut:

      1. Temukan entri log yang benar. Untuk menemukan entri log yang benar, klik panah peluas di samping entri log. Tinjau detail entri log dan tentukan apakah entri log menunjukkan operasi yang ingin Anda urungkan. Ulangi proses ini sampai Anda menemukan entri log yang benar.

      2. Di entri log yang benar, temukan ID numerik akun layanan. Untuk menemukan ID numerik, luaskan kolom protoPayload entri log, lalu cari kolom resourceName.

      ID numerik adalah semuanya setelah serviceAccounts di kolom resourceName.

Membatalkan penghapusan akun layanan berdasarkan ID numerik

Setelah menemukan ID numerik untuk akun layanan yang dihapus, Anda dapat mencoba membatalkan penghapusan akun layanan.

gcloud

  1. In the Trusted Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Trusted Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Jalankan perintah gcloud beta iam service-accounts undelete untuk membatalkan penghapusan akun layanan.

    Perintah:

    gcloud beta iam service-accounts undelete ACCOUNT_ID

    Output:

    restoredAccount:
    email: SA_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com
    etag: BwWWE7zpApg=
    name: projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.s3ns-system.iam.gserviceaccount.com
    oauth2ClientId: '123456789012345678901'
    projectId: PROJECT_ID
    uniqueId: 'ACCOUNT_ID'

    3. REST

    Metode serviceAccounts.undelete memulihkan akun layanan yang dihapus.

    Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

    • PROJECT_ID: ID project Trusted Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.
    • SA_NUMERIC_ID: ID numerik unik akun layanan.

    Metode HTTP dan URL: 

    POST https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NUMERIC_ID:undelete

    Untuk mengirim permintaan, perluas salah satu opsi berikut:

    Jika penghapusan akun dapat dibatalkan, Anda akan menerima kode respons 200 OK beserta detail tentang akun layanan yang dipulihkan, seperti berikut: 

    {
  "restoredAccount": {
    "name": "projects/my-project/serviceAccounts/my-service-account@my-project.s3ns-system.iam.gserviceaccount.com",
    "projectId": "my-project",
    "uniqueId": "123456789012345678901",
    "email": "my-service-account@my-project.s3ns-system.iam.gserviceaccount.com",
    "displayName": "My service account",
    "etag": "BwUp3rVlzes=",
    "description": "A service account for running jobs in my project",
    "oauth2ClientId": "987654321098765432109"
  }
}

Langkah selanjutnya