服務帳戶是特殊的 Google 帳戶類型,應用程式或運算工作負載可透過這類帳戶發出授權 API 呼叫,而非由個別使用者發出。每個服務帳戶都有專屬的電子郵件地址,應用程式可以服務帳戶身分進行驗證,取得服務帳戶有權存取的所有資源。常見方法是將服務帳戶附加至資源,例如 Compute Engine 執行個體。
Google Cloud提供多種服務帳戶,包括您建立的使用者自行管理的服務帳戶、特定服務自動建立的預設服務帳戶,以及由 Google Cloud 管理的服務代理程式 (可代您執行動作)。應用程式可以取得短期憑證,或使用服務帳戶金鑰進行驗證 (安全性較低)。
服務帳戶在 IAM 中同時做為主體和資源。您可以將角色授予主體,讓他們存取 Google Cloud 資源。您可以將服務帳戶視為資源,授予其他主體與服務帳戶互動的權限,例如允許使用者模擬服務帳戶。
