有关为服务帐户设置/获取IAM策略的gcloud混淆

Question

有两个命令让我困惑了一段时间：

gcloud iam service-accounts get-iam-policy
gcloud iam service-accounts set-iam-policy

在--help命令中，这两个命令将服务帐户视为resource，最常见的情况是我将服务帐户用作identity，例如，在项目中，通过绑定角色和服务帐户来设置策略，以便此服务帐户可以对该项目中的某些内容进行操作。

有没有人能指出一下将保单附加到服务账户的用途是什么？服务帐户如何充当资源而不是身份？

Answer 1

正如下面官方文档Managing service accounts 的这一部分所解释的那样

将服务帐户视为资源时，您可以将角色授予其他用户以访问或管理该服务帐户。

因此，将其用作资源的目标是让您管理谁可以使用和控制服务帐户。要提供一些附加的详细信息，如本例here中的附加策略，您可以配置不同用户在服务帐户中可以拥有的访问级别-如上所述，您可以配置某些用户具有查看者访问权限，而其他用户具有编辑者级别。

总而言之，将策略附加到服务帐户的功能是为可以访问服务帐户的用户设置不同的访问和权限级别。