关于 GCP 服务帐号
从 Web 控制台,我使用我创建的服务帐户 X 启动了一个 GCE 实例。
如果您从实例中请求 http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/
/ my-service-account-X @ foo
/ default
被退回了。 即使我设置了服务帐号 X 是否也启用了默认服务帐号?
如果是这样,权限如何?
默认服务帐号权限强,受范围限制,但如果按照最佳实践进行配置并使用服务帐号X,范围是云平台。也就是说,如果使用访问http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/apikey获得的API key,就可以访问服务帐号X不允许的API?
另外,服务帐号 X 是否需要包含默认服务帐号中包含的权限,例如写入日志?
答案 0 :(得分:2)
两个结果实际上都引用了同一个服务帐户,在你的例子中是“my-service-account-X @ foo”。您可以通过从两者获取令牌来确认这一点。例如,对于默认:
curl http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token -H "Metadata-Flavor: Google"
您会看到您实际上从 default 和 my-service-account-X@foo 获得了相同的令牌。它是 default 的“别名”,以便您可以从实例轻松使用 Application Default Credentials。