我正在尝试创建短暂的服务帐户凭据。我正在https://cloud.google.com/iam/docs/creating-short-lived-service-account-credentials#creating_a_limited-privilege_service_account工作,该工作描述了如何使用REST API进行操作,但是我想从GCP控制台进行操作。特别是,我尝试执行与serviceAccounts.setIamPolicy()请求等效的操作。
如何使用GCP控制台更新服务帐户的策略以添加绑定(如上面的链接中所述)?
谢谢。
埃利奥特
答案 0 :(得分:1)
如果我们看这篇名为How to impersonate Service Accounts in Google Cloud的文章,我们会发现一条明确的陈述,内容为:
特定于帐户(只能从命令行使用-在“ 控制台)
这似乎对我说,如果我们要将服务帐户视为资源并允许其设置短期凭证,则必须使用API。
答案 1 :(得分:0)
您正在混淆服务帐户和OAuth访问令牌。
Google Cloud Console和CLI可以创建服务帐户。服务帐户不会过期,但是可以被撤销。服务帐户用于创建Google Cloud OAuth 2.0访问令牌(和身份令牌)。
您无法在Google Cloud Console中创建OAuth访问令牌。您可以使用CLI gcloud或使用API创建OAuth访问令牌。
所有Google Cloud OAuth访问令牌都是短暂的。默认值和最大到期时间是3600秒。如果您希望缩短令牌寿命,则需要使用API调用和/或OAuth端点自行创建令牌。
我写了一篇文章,展示了如何创建包含源代码的Google OAuth访问令牌。您可以更改代码以创建最长3,600秒的到期令牌。
Google Cloud – Creating OAuth Access Tokens for REST API Calls
如果要将IAM角色分配给服务帐户,则可以。这可以在Google Cloud Console中使用CLI gcloud或通过API调用来完成。这独立于OAuth访问令牌。 IAM角色未分配给令牌。 IAM角色已分配给帐户成员ID。除非受范围限制,否则这些权限将对服务帐户创建的任何OAuth令牌有效。如果要在生成OAuth访问令牌时更改范围,则必须在发出令牌请求时编写自己的代码。