服务账号是一种特殊类型的 Google 账号,由应用或计算工作负载(而非个人用户)用于进行已获授权的 API 调用。每个服务账号都由一个唯一的电子邮件地址标识。应用可以以服务账号本身的身份进行身份验证,从而获得对服务账号有权访问的所有资源的访问权限。一种常见的方法是将服务账号附加到资源(例如 Compute Engine 实例)。
Google Cloud中有多种类型的服务账号,包括您创建的用户管理的服务账号、某些服务自动创建的默认服务账号,以及由 Google Cloud 管理的代表您执行操作的服务代理。应用可以获取短期有效的凭据,也可以使用服务账号密钥进行身份验证(安全性较低)。
在 IAM 中,服务账号既是主账号,也是资源。作为主账号,您可以向其授予角色以访问 Google Cloud 资源。作为资源,您可以向其他主账号授予与服务账号互动的权限,例如允许用户模拟服务账号。
