У меня запущен сервер хранилища. Я включил и настроил секретный механизм GCP с помощью инструмента vault CLI.
$ vault secrets enable gcp
Success! Enabled the gcp secrets engine at: gcp/sh
$ vault write gcp/config credentials=@my-service-ac-credentials.json
Success! Data written to: gcp/config
Затем я настроил набор ролей, используя
$ vault write gcp/roleset/my-token-roleset \
project="my-project" \
secret_type="access_token" \
token_scopes="https://www.googleapis.com/auth/cloud-platform" \
bindings=-<<EOF
resource "//cloudresourcemanager.googleapis.com/projects/my-project" {
roles = ["roles/viewer"]
}
EOF
При создании roleset сервер хранилища создает учетную запись службы Google на my-project с заданным bindings.
Но когда я удаляю roleset из хранилища, используя,
$ vault delete gcp/roleset/my-token-roleset
Success! Data deleted (if it existed) at: gcp/roleset/my-token-roleset
аккаунт сервиса google все еще там. Это ожидаемое поведение? Если это так, как удалить созданную учетную запись службы Google вместе с удалением набора ролей gcp в хранилище?