GCE предлагает два метода для ограничения доступа к API, который может предоставить экземпляр, и вы попадаете на эти два пути.Одна из них заключается в том, что экземпляр GCE имеет область действия, которая ограничивает ЛЮБЫЕ запросы API от этого компьютера этими службами.Например, если ваш экземпляр GCE не разрешает операции записи GCS, независимо от учетной записи службы, связанной с экземпляром, вы не можете выполнять операции записи GCS.
Вы можете войти в SSH, пройти аутентификацию с учетной записью владельца проекта и попытаться выполнить запись в GCS, и это не удастся.Это сделано для того, чтобы обеспечить дополнительный уровень безопасности, и в первую очередь полезно, если вы знаете, что «Экземплярам в этой группе экземпляров когда-либо понадобятся только чтение GCS и доступ к API StackDriver».
Теперь учетная запись службы, связанная с экземпляром, используется только тогда, когда клиентская библиотека или команда gcloud проверяют учетные данные в расположении «приложения по умолчанию».Так что, если ваше приложение включает в себя служебную учетную запись json key и читает из нее, не имеет значения связанный ключ.
Таким образом, указанная вами учетная запись службы устанавливает, что все приложения по умолчанию выполняют запросы API с использованием этих учетных данных.
Также имейте в виду, что гораздо больше усовершенствованных областей, чем просто «облачная платформа».