Google cloud platform gce'；设置服务帐户时是否启用默认服务帐户？_Google Cloud Platform_Service Accounts

Google cloud platform gce'；设置服务帐户时是否启用默认服务帐户？

google-cloud-platform

Google cloud platform gce'；设置服务帐户时是否启用默认服务帐户？,google-cloud-platform,service-accounts,Google Cloud Platform,Service Accounts,关于GCP服务帐户从web控制台，我使用我创建的服务帐户X启动了一个GCE实例如果您请求http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/从实例内部 / my-service-account-X @ foo / default 他回来了。即使我设置了服务帐户X，默认服务帐户是否已启用如果是，权限如何？默认服务帐户具有很强的权限，并且受范围限制，但如果您根据最佳实践进行配置并使用服务

关于GCP服务帐户

从web控制台，我使用我创建的服务帐户X启动了一个GCE实例

如果您请求

http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/

从实例内部

/ my-service-account-X @ foo
/ default

他回来了。即使我设置了服务帐户X，默认服务帐户是否已启用

如果是，权限如何？
默认服务帐户具有很强的权限，并且受范围限制，但如果您根据最佳实践进行配置并使用服务帐户X，则范围是云平台。换句话说，如果您使用通过访问

http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/apikey

，您可以访问服务帐户X不允许的API吗

此外，服务帐户X是否需要包括默认服务帐户中包含的权限，例如写入日志？

两个结果实际上引用了相同的服务帐户，在您的示例“my-service-account-X@foo”中。您可以通过从这两个站点获取令牌来确认这一点。例如，对于默认值：

curl http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token -H "Metadata-Flavor: Google"

您将看到，您实际上从

default

和

我的服务帐户获得了相同的令牌-X@foo

。它被“别名”为

默认值

，以便您可以从实例中轻松使用