Google cloud platform 谷歌云如何认证默认服务帐户？_Google Cloud Platform_Google Iam

Google cloud platform 谷歌云如何认证默认服务帐户？

google-cloud-platform

Google cloud platform 谷歌云如何认证默认服务帐户？,google-cloud-platform,google-iam,Google Cloud Platform,Google Iam,我想知道谷歌如何在用户的项目中进行身份验证例如，我的项目中有默认的compute服务帐户，但它没有用于模拟或身份验证的关联方式（没有IAM策略绑定，如IAM.ServiceAccounts.getAccessToken，也没有密钥）：有些绑定是从项目级继承的。例如，存在计算引擎服务代理的绑定： $ gcloud projects get-iam-policy cedar-lexicon-312307 bindings: - members: - serviceAccount:servi

我想知道谷歌如何在用户的项目中进行身份验证

例如，我的项目中有默认的compute服务帐户，但它没有用于模拟或身份验证的关联方式（没有IAM策略绑定，如IAM.ServiceAccounts.getAccessToken，也没有密钥）：

有些绑定是从项目级继承的。例如，存在计算引擎服务代理的绑定：

$ gcloud projects get-iam-policy  cedar-lexicon-312307
bindings:
- members:
  - serviceAccount:service-502923505097@compute-system.iam.gserviceaccount.com
  role: roles/compute.serviceAgent

我是否正确理解Compute Engine Service Agent有权模拟我的项目中的任何服务帐户，并用于模拟Compute的默认服务帐户？是否有其他方式（可能对用户隐藏）让Google Services模拟默认服务帐户？

您可以在服务代理的角色中看到。这是谷歌管理的服务帐户，在你的项目上授予，让谷歌自动化服务与你的项目交互。您可以删除这些服务帐户服务代理的权限，以删除Google平台产品与您的项目交互的权限。使用风险自负

如果要回滚测试，可以尝试禁用然后启用相关API

您还可以使用正确的角色将服务帐户服务代理电子邮件手动添加到您的项目中。

我不明白您想查找或了解什么？你的问题是什么/blokcker？我想了解谷歌云在幕后是如何工作的。作为用户，我是否可以查看或限制哪些GCP平台服务可以访问我的项目数据？

$ gcloud projects get-iam-policy  cedar-lexicon-312307
bindings:
- members:
  - serviceAccount:service-502923505097@compute-system.iam.gserviceaccount.com
  role: roles/compute.serviceAgent