Учетная запись службы может быть как идентификатором, так и ресурсом, поэтому в отношении ролей учетная запись службы является ресурсом, а в политике это идентичность?
учетная запись службы может рассматриваться как ресурс и как личность.
Вы можете назначать роли другим удостоверениям для доступа или управления учетной записью службы.
Вы можете назначать роли учетной записи службы, позволяя учетной записи службы получить доступ к другим ресурсам, включая другие учетные записи служб.
Эта get-iam-policy iam service-account возвращает eTag, и, насколько я понимаю, это способ параллельного управления политикой, к которой относится данная учетная запись службы?
eTag не позволяет двум удостоверениям одновременно обновлять одну и ту же политику для одного и того же ресурса. Во-первых, вы читаете политику, которая включает в себя eTag. Затем вы изменяете политику и повторно применяете. ETag должен соответствовать текущему eTag. Если две идентичности изменяют одну и ту же политику, первая будет успешной, а вторая - неудачной. Первое обновление сгенерирует новый eTag, который больше не будет соответствовать eTag во второй политике.
Так что я думаю, что эта команда используется только системой при проверке, принадлежит ли учетная запись службы уже Политика?
Сервисные учетные записи не относятся к политике. Политики присваиваются учетным записям служб (и ресурсам). Команда читает текущую политику.
Учетная запись службы может принадлежать только одной привязке, которая принадлежит политике?
У учетной записи службы может быть назначена только одна политика к этому. Изменения вносятся путем изменения политики. Помните, что служебная учетная запись может быть назначена на уровне организации, папки и проекта в дополнение к отдельным ресурсам. В этом случае ресурс может иметь политику, которая включает учетную запись службы в качестве идентификатора участника. Это отличается от политики, назначаемой учетной записи службы.
Политика - это просто дополнительный структурный организационный уровень поверх ролей, но она также включает опцию для привязок с ограничениями?
Я не понимаю, о чем вы здесь спрашиваете. Политика состоит из ролей. Политика назначается ресурсам. Ограничения - это отдельный уровень, который предоставляет ограничения, которые применяются к ресурсам. Если в разрешении отказано ограничением, это отменяет разрешение в разрешении.