当我设置服务帐户时，gce的默认服务帐户启用了吗？

Question

关于GCP服务帐户

在web控制台中，我使用我创建的服务帐户X启动了一个GCE实例。

如果您从实例中请求http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/

/ my-service-account-X @ foo
/ default

被归还了。即使我设置了服务帐户X，默认服务帐户是否已启用？

如果是的话，那么权限呢？

默认服务帐户具有很强的权限，并且受作用域的限制，但是如果您根据最佳实践配置它并使用服务帐户X，范围是云平台。换句话说，如果您使用通过访问http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/apikey获得的API键，您可以访问服务帐户X不允许的API？

此外，服务帐户X是否需要包括默认服务帐户中包含的权限，例如写入日志？

Answer 1

这两个结果实际上都引用了相同的服务帐户，在您的例子中，“my account -X@ foo”。您可以通过从这两个方面获得一个令牌来确认这一点。例如，对于默认情况：

curl http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token -H "Metadata-Flavor: Google"

您将看到，您实际上从default和my-service-account-X@foo获得了相同的令牌。它被“别名”为default，这样您就可以轻松地从实例中使用应用程序默认凭据。