如何为服务帐户设置 Google Cloud 应用程序凭据答案

【问题标题】：How to set Google Cloud application credentials for a Service Account如何为服务帐户设置 Google Cloud 应用程序凭据
【发布时间】：2020-11-18 15:19:40
【问题描述】：

以下命令允许您设置默认凭据：

 gcloud auth application-default login

它会打开一个窗口（除非您使用--no-launch-browser）并允许您连接您的帐户。它会创建一个包含您的凭据的本地 json 文件，该文件将在应用程序使用 Google Cloud SDK 时被拾取。

但是，如果我想将我的应用程序凭据设置为服务帐户，如下所示：

 gcloud auth application-default login \
--impersonate-service-account=saname@project.iam.gserviceaccount.com

这仍然允许我在浏览器中进行身份验证，但它似乎为我的用户帐户加载了凭据，不是为服务帐户加载的。

有没有办法做到这一点？即，将服务帐户设置为应用程序默认值，无需服务帐户文件。

注意：我确实有权模拟服务帐户

【问题讨论】：

我写了一篇文章，展示了使用用户凭据模拟服务帐户的步骤。不需要服务 JSON 密钥文件。 jhanley.com/google-cloud-improving-security-with-impersonation

标签： google-cloud-platform gcloud service-accounts google-cloud-iam

【解决方案1】：

gcloud auth application-default login 使用活动|指定的用户帐户创建一个本地 JSON 文件，其行为类似于服务帐户。

我假设——对吗？ -- 即使您的用户帐户被允许模拟 ServiceAccount，使用您的用户帐户作为 ADC 也不起作用。我不知道为什么会这样。

另一种方法是使用gcloud auth activate-service-account，但如您所知，您需要拥有服务帐户的凭据，因为将使用这些凭据而不是application-default login 创建的凭据。

【讨论】：