サービスアカウントの詳細を問い合わせるには
gcloud iam service-accounts describe <SA-email> --project=<PROJECT>
これにより、説明、表示名、OAuth クライアントなどが表示されます。ただし、デフォルトの Google 生成アカウントの情報を検索しようとすると、エラーが発生して失敗します。たとえば、
gcloud iam service-accounts get-iam-policy <project_number>@cloudbuild.gserviceaccount.com
失敗する
ERROR: (gcloud.iam.service-accounts.get-iam-policy) NOT_FOUND: Unknown service account
gcloudこれは、特定のサービスアカウントを覗き見しようとするあらゆるアクションに当てはまります。Googleが自動生成した。
これは私たちにとってはイライラするものです。なぜなら、私たちは集中管理されたプロジェクトを使って、欲しいArtifact Registry のように、環境間で共有する必要があります。自動生成されたアカウントに、デフォルト値を超えてプロジェクト間のアクセス権を与える必要があります。
TerraformやGCPのConfig Connector経由でアクセスを許可できます。しかし、観察するスクリプト可能な方法で状態を変更できます。
誰か、どのようgcloudに使用して仕組みを覗き見ることができるか知っていますか?Googleが自動生成サービスアカウントですか?