Включение Cloud Run API (консоль разработчика → Cloud Run → Enable) создает пять учетных записей служб. Я хочу понять их цель. Мне нужно знать, отвечаю ли я за настройку их для наименее привилегированного доступа.
Default compute service account выполняет роль Editor. Это учетная запись службы выполнения Cloud Run. Его цель ясна, и я знаю, что моя обязанность - настроить его для наименее привилегированного доступа.
App Engine default service account выполняет роль Editor. Это соответствует описанию учетной записи службы времени выполнения Cloud Functions. Его цель неясна, учитывая наличие учетной записи службы среды выполнения Cloud Run. Я не знаю, отвечу ли я за настройку наименее привилегированного доступа.
Google Container Registry Service Agent (Editor роль) и Google Cloud Run Service Agent (Cloud Run Service Agent роль) находятся под управлением Google сервисные аккаунты, «используемые для доступа к API сервисов Google Cloud Platform»:
Я бы хотел, чтобы сервисные аккаунты, управляемые Google, были настроены на наименее привилегированный доступ. Я также хотел бы иметь возможность фильтровать учетные записи служб, управляемых Google, в разделе IAM консоли GCP. Тем не менее, я знаю, что мне следует их игнорировать.
Безымянная учетная запись службы {project-number}{at}cloudbuild.gserviceaccount.com имеет роль Cloud Build Service Account. Эта учетная запись службы "может выполнять сборки", но не отображается в контейнерах сборки документы. Он используется для непрерывного развертывания, но не может этого сделать без дополнительной настройки пользователя. Это не служебная учетная запись, управляемая Google, но она не отображается в разделе «Учетные записи служб» консоли GCP, как учетные записи служб времени выполнения. Его цель неясна. Я не знаю, отвечу ли я за настройку наименее привилегированного доступа.
