如何讓用戶成爲Google Cloud Platform（GCP）中的服務帳戶的演員？

Question

我有一個服務帳戶，我希望能夠「充當」（在AWS中稱爲「承擔」）。如下圖所示在我的項目我的所謂「鬥觀衆服務帳戶」服務帳戶：

$ gcloud projects get-iam-policy myproject 
bindings: 
- members: 
    - serviceAccount:123456789012-compute@developer.gserviceaccount.com 
    role: roles/editor 
- members: 
    - user:me@myemail.com 
    role: roles/owner 
- members: 
    - serviceAccount:bucket-viewer-service-account@myproject.iam.gserviceaccount.com 
    role: roles/storage.objectViewer 
etag: BwVOE_CkjAo= 
version: 1 

我希望授予其他用戶「充當」這個服務帳戶和我已經申請了以下的能力，但沒有得到很遠：

$ gcloud iam service-accounts add-iam-policy-binding \ 
    bucket-viewer-service-account@myproject.iam.gserviceaccount.com \ 
    --member='user:test.gcp1@myemail.com' --role='roles/iam.serviceAccountActor' 
bindings: 
- members: 
    - user:user:test.gcp1@myemail.com 
    role: roles/iam.serviceAccountActor 
etag: BwVOFAhEVqY= 

是所有我需要做的，使用戶test.gcp1@myemail.com（一旦他們登錄）可以訪問現有的資源，以服務帳戶？或者是否有另一個步驟需要用戶「承擔」服務帳戶？

我已經瀏覽了許多關於初學者的文檔Understanding Service Accounts的頁面，但大多數人似乎都在考慮使用服務帳戶的應用程序，其中文檔明確提及用戶，組織等可以使用服務帳戶。

Answer 1

iam.serviceAccountActor role使用戶能夠創建和管理使用服務帳戶的計算引擎實例。

我可以誤解的東西，但如果你想給別人的許可，直接充當服務帳戶，最簡單的方法很可能是create a private key文件，代表服務帳戶特定用戶充當該服務帳戶，然後給他們那個私鑰文件。

Answer 2

爲用戶提供「服務帳戶演員」角色不會像您所建議的那樣，以過渡方式授予訪問權限。相反，它允許用戶「使用」服務帳戶來啓動將該服務帳戶作爲標識的長時間運行的作業（例如，創建計算引擎實例）。