有没有办法使用您当前的凭据来承担服务帐户,而不必使用 json 密钥?
is there a way to use your current credentials to assume a service account instead of having to use the json key?
我的个人帐户是我的 gcp 项目中的管理员。
如果我想使用我创建的服务帐户之一(从我的本地笔记本电脑)我这样做:
gcloud auth activate-service-account --key-file=some-service-account.json
但我想知道,如果我已经有自己的管理员帐户处于活动状态,有没有办法在没有密钥的情况下假设一个服务帐户? GCP 是否可以使用我当前的信用来授予我使用该服务帐户的权限?
如果是这样,这也让我想知道我是否可以以相同的方式使用应用于 GCE 实例的服务帐户。因此,我可以将服务帐户附加到 GCE 实例,使其能够访问假设 other 服务帐户。
我想你要找的是 "impersonation"。您需要像 iam.serviceAccountUser 这样的角色来执行此操作。请参阅这些文档和文章:
我的个人帐户是我的 gcp 项目中的管理员。
如果我想使用我创建的服务帐户之一(从我的本地笔记本电脑)我这样做:
gcloud auth activate-service-account --key-file=some-service-account.json
但我想知道,如果我已经有自己的管理员帐户处于活动状态,有没有办法在没有密钥的情况下假设一个服务帐户? GCP 是否可以使用我当前的信用来授予我使用该服务帐户的权限?
如果是这样,这也让我想知道我是否可以以相同的方式使用应用于 GCE 实例的服务帐户。因此,我可以将服务帐户附加到 GCE 实例,使其能够访问假设 other 服务帐户。
我想你要找的是 "impersonation"。您需要像 iam.serviceAccountUser 这样的角色来执行此操作。请参阅这些文档和文章: