Есть ли способ использовать ваши текущие учетные данные, чтобы принять учетную запись службы вместо того, чтобы использовать ключ JSON?

Question

Моя личная учетная запись является администратором в моем проекте gcp.

Если я хочу использовать одну из созданных мной учетных записей служб (с моего локального ноутбука), я делаю это:

gcloud auth activate-service-account --key-file=some-service-account.json

Но мне интересно, если у меня уже есть активная учетная запись администратора, есть ли способ просто использовать служебную учетную запись без ключа? Может ли GCP использовать мои текущие кредиты, чтобы дать мне доступ к этой учетной записи?

Если так, то это также заставляет меня задуматься, могу ли я использовать учетные записи служб, примененные к экземплярам GCE таким же образом. Таким образом, я могу прикрепить учетную запись службы к экземпляру GCE, который дает ему доступ для принятия других учетных записей службы.

Answer 1

Я думаю, что вы ищете "олицетворение". Для этого вам нужны роли типа iam.serviceAccountUser. См. Эти документы и статьи:

• https://cloud.google.com/iam/docs/service-accounts#the_service_account_user_role

• https://medium.com/google-cloud/using-serviceaccountactor-iam-role-for-account-impersonation-on-google-cloud-platform-a9e7118480ed

• https://medium.com/google-cloud/impersonating-users-with-google-cloud-platform-service-accounts-ba762db09092