Вы путаете учетные записи служб и токены доступа OAuth.
Консоль Google Cloud Console и CLI могут создать учетную запись службы. Срок действия учетной записи службы не истекает, но ее можно отозвать. Учетные записи служб используются для создания токенов доступа Google Cloud OAuth 2.0 (и токенов идентификации).
Невозможно создать токен доступа OAuth в консоли Google Cloud. Вы можете создавать токены доступа OAuth с помощью CLI gcloud или с помощью API.
Все токены доступа Google Cloud OAuth являются недолговечными. По умолчанию и максимальное время истечения составляет 3600 секунд. Если вам нужно более короткое время жизни токена, вам нужно будет создать его самостоятельно с помощью вызовов API и / или конечных точек OAuth.
Я написал статью, в которой показано, как создавать токены доступа Google OAuth, включая исходный код. Вы можете изменить код для создания токенов с любым сроком действия до 3600 секунд.
Google Cloud - Создание токенов доступа OAuth для вызовов REST API
Если вы хотите назначитьРоли IAM в служебной учетной записи вы можете. Это можно сделать в облачной консоли Google, используя CLI gcloud или с помощью вызова API. Это не зависит от маркера доступа OAuth. Роли IAM не назначены токенам. Роли IAM назначаются идентификатору участника учетной записи. Эти разрешения будут действительны для любого OAuth-токена, созданного учетной записью службы, если они не ограничены областями действия. Если вы хотите изменить области во время генерирования OAuth Access Token, вы должны написать свой собственный код, чтобы сделать это во время запроса токена.