默认服务帐户编辑器角色

Question

我是Google Cloud的新手。

我了解到，由于其编辑器角色，删除默认服务帐户是最佳做法。但是，一旦我删除了它，我就无法启动一个市场解决方案。创建一个带有编辑器角色的新服务帐户也不起作用。

我正在使用以下步骤：

• 禁用默认服务帐户
• 只有在需要使用市场解决方案创建VM时才启用它
• 创建VM后更改服务帐户

推荐的最佳做法是什么？

Answer 1

默认服务帐户是使用角色创建的，但您可以修改服务帐户的角色，以控制服务帐户对Google的访问。

您可以从项目中禁用或删除此服务帐户，但这样做可能会导致任何依赖服务帐户凭据的应用程序失败。因此，正如@John 所提到的，不要删除谷歌为您创建的服务帐户。相反，创建一个新的服务帐户，并在需要时使用它。

您可以使用IAM创建和管理自己的服务帐户。创建帐户后，可以授予account IAM角色，并设置实例作为服务帐户运行。运行在带有服务帐户的实例上的应用程序可以使用该帐户的凭据向其他Google发出请求。请参考为实例创建和启用服务帐户。

如果已删除默认服务帐户，则可以尝试在30天内恢复该帐户。30天后，IAM永久删除服务帐户。Google在永久删除服务帐户后无法恢复它，即使您提交了支持请求。

有关更多信息，请参考删除服务帐户。