我想知道 Google 如何验证用户项目中的 default service accounts。
例如,我的项目中有用于计算的默认服务帐户,但它没有关联的模拟或身份验证方法(没有 IAM 策略绑定,如 iam.ServiceAccounts.getAccessToken,也没有密钥):
$ gcloud iam service-accounts list
DISPLAY NAME EMAIL DISABLED
Compute Engine default service account 502923505097-compute@developer.gserviceaccount.com False
$ gcloud iam service-accounts get-iam-policy 502923505097-compute@developer.gserviceaccount.com
etag: ACAB
有一些从项目级别继承的绑定。例如,计算引擎服务代理有绑定:
$ gcloud projects get-iam-policy cedar-lexicon-312307
bindings:
- members:
- serviceAccount:service-502923505097@compute-system.iam.gserviceaccount.com
role: roles/compute.serviceAgent
我是否正确理解 Compute Engine 服务代理被授权模拟我项目中的任何服务帐户并用于模拟计算的默认服务帐户? Google 服务是否有任何其他方式(可能对用户隐藏)来模拟默认服务帐户?
答案 0 :(得分:0)
您可以在 documentation 中看到服务代理的角色。它是在您的项目上授予的 Google 托管服务帐户,用于让 Google 自动化服务与您的项目进行交互。您可以移除对这些服务帐号服务代理的权限,以移除 Google Platform 产品与您的项目交互的权限。使用风险自负!
如果你想回滚你的测试,你可以尝试禁用然后启用相关的API。
您还可以使用正确的角色将服务帐号服务代理电子邮件手动添加到您的项目中。