В чем существенная разница между учетной записью службы GCP по умолчанию и учетной записью пользовательской службы?

# #google-cloud-platform #service-accounts #google-cloud-iam

Вопрос:

Я связал учетную запись пользовательской службы с виртуальной машиной, когда я выполняю это

 curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/" -H "Metadata-Flavor: Google"
 

команда от виртуальной машины Я получаю две учетные записи службы
default amp; my-service-account@my-project.iam.gserviceaccount.com/

Из пользовательского интерфейса/веб-интерфейса Google Cloud Platform я вижу только одну учетную запись службы, связанную с виртуальной машиной.

Разрешение, предоставленное my-service-account@my-project.iam.gserviceaccount.com/ пользователю, отражается для default учетной записи службы. В чем существенная разница между этими двумя учетными записями службы? Можем ли мы связать несколько учетных записей служб с виртуальной машиной?

Ответ №1:

Обе записи в метаданных являются одной и той же учетной записью службы.

по умолчанию используется псевдоним для фактического адреса электронной почты учетной записи службы. Таким образом, вам не нужно знать учетную запись службы, назначенную службе, для чего потребуется знать или жестко указать адрес электронной почты учетной записи службы.

Комментарии:

1. Спасибо, Джон Хэнли, Есть ли документ Google default is an alias for the actual service account email address , который поможет мне разобраться в деталях? Можем ли мы подключить к виртуальной машине более двух учетных записей службы?

2. @SanvarInamdar Вы можете подключить к виртуальной машине только одну учетную запись службы. В вашей программе/приложении вы можете использовать любой номер. Посмотрите этот документ в разделе сервис-учетные записи для псевдонимов: cloud.google.com/compute/docs/metadata/… Однако этот раздел не является полным для того, что вы хотите знать.