Posso solicitar os detalhes de uma conta de serviço com
gcloud iam service-accounts describe <SA-email> --project=<PROJECT>
Isso fornecerá a descrição, o nome de exibição, o cliente OAuth, etc. Mas falhará com um erro se eu tentar procurar informações sobre contas padrão geradas pelo Google. Por exemplo,
gcloud iam service-accounts get-iam-policy <project_number>@cloudbuild.gserviceaccount.com
falha com
ERROR: (gcloud.iam.service-accounts.get-iam-policy) NOT_FOUND: Unknown service account
Isso vale para qualquer gcloudação que tente fazer peering em uma conta de serviço específicaque o Google gerou automaticamente.
Isto é frustrante para nós porque temos um projeto centralizado que usamos para serviços quequererpara serem compartilhados em nossos ambientes, como nosso Artifact Registry. Precisamos conceder acesso entre projetos a essas contas geradas automaticamente além dos valores padrão.
Podemos dar acesso via Terraform ou Config Connector do GCP. Mas não somos capazesobservaro estado de qualquer forma programável.
Alguém sabe como gcloudpode ser usado para examinar o funcionamento deGerado automaticamente pelo Googlecontas de serviço?