爲Google服務帳戶提供公鑰，而不是讓Google生成密鑰

Question

通過Google服務帳戶，Google生成與該服務帳戶關聯的公鑰/私鑰對，並將其傳遞給想要進行API調用的最終用戶。最終用戶可以保證鑰匙的安全。是否可以生成服務帳戶和關聯的客戶端，但提供Google可用於驗證發出請求的服務帳戶客戶端的證書？我試圖解決的問題不是交換任何私鑰。

也有可能範圍的服務帳戶有權訪問的用戶？例如，如果我想創建一個服務帳戶，該服務帳戶只具有Google域上的子用戶組的模擬api訪問權限。從我讀過的內容來看，如果您使用域範圍委派創建服務帳戶，則該服務帳戶具有該域上所有用戶的模擬API權限。

Answer 1

不，您不能關聯服務帳戶並提供證書來驗證客戶端請求。如here所述，服務帳戶的憑證是唯一的，並且至少有一個公鑰或私鑰對。要生成服務帳戶憑據，請轉到Google Developers Console。在創建服務帳戶窗口中，輸入服務帳戶的名稱並選擇Furnish a new private key。您的私鑰/公鑰對會生成並下載到您的機器。它是該密鑰的唯一副本。您有責任安全地存儲它。有關Developers Console中服務帳戶憑證的更多詳細信息，請參閱Developers Console幫助文件中的Service account。