Inhalt
Hintergrund
Für die Signatur Ihrer nativen Whitelabel-App in der Google Play Console muss ein JSON-Schlüssel erstellt werden. In einigen Organisationen ist dieser Schritt blockiert, da die Erstellung von Dienstkontoschlüsseln per Organisationsrichtlinie, in der Google Cloud deaktiviert ist.
Der Fehler tritt während dieses Schritts auf: Erstellung eines JSON-Schlüssels zur Signatur Ihrer App.
Ursache
In der Google-Organisation ist die Richtlinie zur Dienstkontoschlüsselerstellung aktiv:
iam.disableServiceAccountKeyCreation
Wenn diese Richtlinie erzwungen wird, können keine JSON-Keys erstellt werden.
Lösung
A) Administrator kontaktieren
Wenden Sie sich an den Organisationsrichtlinien-Administrator mit der Rolle:
roles/orgpolicy.policyAdmin
Nur diese Rolle kann die obige Richtlinie deaktivieren oder Ausnahmen definieren. Erklären Sie, warum der JSON-Key benötigt wird (z. B. App-Signatur für Whitelabel-App) und dass es keine geeignete Alternative gibt.
B) Richtlinie in der Google Cloud Console anpassen
- Organisation auswählen: In der Google Cloud Console oben die Organisation (nicht nur ein Projekt) wählen.
- Zu den Richtlinien navigieren: Menü → IAM & Admin → Organisationsrichtlinien.
-
Richtlinie suchen: Im Filterfeld „Dienstkontoschlüssel“ oder direkt
iam.disableServiceAccountKeyCreationeingeben. - Richtlinie bearbeiten: Richtlinie öffnen → Richtlinie verwalten.
-
Durchsetzung deaktivieren oder Ausnahme definieren:
- Option Durchsetzung: Aus, um die Richtlinie zu deaktivieren, oder
- eine Zulassen-Regel als Ausnahme für das betroffene Projekt definieren.
- Speichern: Änderungen sichern. Anschließend sollte die Erstellung von JSON-Schlüsseln möglich sein.
Sicherheitshinweis
Die Erstellung von Dienstkontoschlüsseln ist ein potenzielles Sicherheitsrisiko, wenn Schlüssel nicht sorgfältig verwaltet werden:
- JSON-Keys ausschließlich für die App-Signatur des Whitelabel-Projekts verwenden.
- Schlüssel sicher speichern und NICHT öffentlich teilen.
- Den Schlüssel nur verschlüsselt an Allthings übermitteln.
- Nicht mehr benötigte Schlüssel in der Google Cloud revoken / löschen.
Verantwortlichkeiten (Wer macht was?)
| Schritt | Verantwortlich | Hinweis |
|---|---|---|
| Organisationsrichtlinie prüfen/anpassen | Kundschaft (Org-Policy-Admin) | Rolle roles/orgpolicy.policyAdmin erforderlich |
| JSON-Schlüssel erstellen & sicher bereitstellen | Kundschaft | Nur über sicheres Medium teilen |
| Einrichtung & Signatur in Play Console | Allthings | Vorausgesetzt: Admin-Zugriff & gültiger JSON-Key |