Google cloud platform gce';设置服务帐户时是否启用默认服务帐户?
关于GCP服务帐户 从web控制台,我使用我创建的服务帐户X启动了一个GCE实例 如果您请求Google cloud platform gce';设置服务帐户时是否启用默认服务帐户?,google-cloud-platform,service-accounts,Google Cloud Platform,Service Accounts,关于GCP服务帐户 从web控制台,我使用我创建的服务帐户X启动了一个GCE实例 如果您请求http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/从实例内部 / my-service-account-X @ foo / default 他回来了。 即使我设置了服务帐户X,默认服务帐户是否已启用 如果是,权限如何? 默认服务帐户具有很强的权限,并且受范围限制,但如果您根据最佳实践进行配置并使用服务
http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/
从实例内部
/ my-service-account-X @ foo
/ default
他回来了。
即使我设置了服务帐户X,默认服务帐户是否已启用
如果是,权限如何?默认服务帐户具有很强的权限,并且受范围限制,但如果您根据最佳实践进行配置并使用服务帐户X,则范围是云平台。换句话说,如果您使用通过访问
http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/apikey
,您可以访问服务帐户X不允许的API吗
此外,服务帐户X是否需要包括默认服务帐户中包含的权限,例如写入日志?两个结果实际上引用了相同的服务帐户,在您的示例“my-service-account-X@foo”中。您可以通过从这两个站点获取令牌来确认这一点。例如,对于默认值:
curl http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token -H "Metadata-Flavor: Google"
您将看到,您实际上从default
和我的服务帐户获得了相同的令牌-X@foo
。它被“别名”为默认值
,以便您可以从实例中轻松使用