Включение Cloud Run API (консоль разработчика → Cloud Run → Enable) создает пять учетных записей служб. Я хочу понять их цель. Мне нужно знать, отвечаю ли я за настройку их для наименее привилегированного доступа.
Default compute service account
выполняет роль Editor
. Это учетная запись службы выполнения Cloud Run. Его цель ясна, и я знаю, что моя обязанность - настроить его для наименее привилегированного доступа.
App Engine default service account
выполняет роль Editor
. Это соответствует описанию учетной записи службы времени выполнения Cloud Functions. Его цель неясна, учитывая наличие учетной записи службы среды выполнения Cloud Run. Я не знаю, отвечу ли я за настройку наименее привилегированного доступа.
Google Container Registry Service Agent
(Editor
роль) и Google Cloud Run Service Agent
(Cloud Run Service Agent
роль) находятся под управлением Google сервисные аккаунты, «используемые для доступа к API сервисов Google Cloud Platform»:
Я бы хотел, чтобы сервисные аккаунты, управляемые Google, были настроены на наименее привилегированный доступ. Я также хотел бы иметь возможность фильтровать учетные записи служб, управляемых Google, в разделе IAM консоли GCP. Тем не менее, я знаю, что мне следует их игнорировать.
Безымянная учетная запись службы {project-number}{at}cloudbuild.gserviceaccount.com
имеет роль Cloud Build Service Account
. Эта учетная запись службы "может выполнять сборки", но не отображается в контейнерах сборки документы. Он используется для непрерывного развертывания, но не может этого сделать без дополнительной настройки пользователя. Это не служебная учетная запись, управляемая Google, но она не отображается в разделе «Учетные записи служб» консоли GCP, как учетные записи служб времени выполнения. Его цель неясна. Я не знаю, отвечу ли я за настройку наименее привилегированного доступа.