我可以使用以下方式询问服务帐户的详细信息
gcloud iam service-accounts describe <SA-email> --project=<PROJECT>
这将提供描述、显示名称、OAuth 客户端等。但如果我尝试查找有关默认的 Google 生成帐户的信息,它将失败并出现错误。例如,
gcloud iam service-accounts get-iam-policy <project_number>@cloudbuild.gserviceaccount.com
失败
ERROR: (gcloud.iam.service-accounts.get-iam-policy) NOT_FOUND: Unknown service account
gcloud对于任何试图窥视特定服务帐户的操作,这都是正确的Google 自动生成的。
这对我们来说很令人沮丧,因为我们有一个集中式项目,用于我们想在我们的环境中共享,例如我们的 Artifact Registry。我们需要为这些自动生成的帐户提供超出默认值的跨项目访问权限。
我们可以通过 Terraform 或 GCP 的配置连接器授予访问权限。但我们无法观察以任何可编写脚本的方式呈现状态。
有谁知道如何gcloud可以用来窥视Google 自动生成服务帐号?