IAM & Service Account

Service Account 遇上 IAM

今天要来介绍的是服务帐号，服务帐号的类型以及适用於服务帐号的IAM角色。

严格说起来Service Account可应用的范围在GCP来说可以说非常的广泛，在Service Account的使用情境我认为比较抽象的状态可以去理解他是一个虚拟使用者，但在使用上与使用者Mail的方式基本上是一致的，他会生成绑定在一组特定帐号上。

Service Account与使用者或使用群组差异：

1. 服务帐号是不需要帐密也没有，使用的验证有产生Json Key(多半绑定程序)还有认证或是VM(GCE) 防火墙等...GCP上服务绑定使用。
2. 服务帐号不是Google Workspace网域的成员。如果Google Workspace网域中的所有成员共享Google Workspace资源(例如文档或事件)，则无法与服务帐号共享这些资源，大致就是可以理解虚拟使用者。

IAM如何使用Service Account：

1. 选择IAM与管理 服务帐户 会有三个步骤

2. 建立该使用者Service Account名称，选择该帐号所需角色权限（步骤与昨天所说的IAM设定个别使用者权限一致）如下图：
   
   

3. 当建立完成该Service Account可在 服务帐户 选单中看到也可在IAM列表中(如果有选择角色得话)

4. 最後是若需要对此帐号使用权限可以建立Json Key，适合在当外部需要调用Google中服务权限使用，但千万要 注意 该金钥要好好保存，因为若被有心人士取得那就相当破露出该权限的大门，如下图：