使用服务帐户

Question

我今天花了一整天的时间阅读有关stackexchange的文档和问题，试图使用服务帐户登录到计算引擎但是没有在哪里。

我是谷歌云的新手，所以原谅我的知识。

我们正在尝试在Google计算引擎上设置长时间运行的服务。我们希望服务作为系统帐户运行，但不能在单个帐户上运行，以便允许整个团队的故障排除权限，但不允许特定用户。我们认为GCP的服务帐户应该能够实现这一目标，但我们无法作为服务帐户登录到计算引擎。我们采取了以下步骤来尝试这一点 -

1. 创建服务帐户并为团队提供serviceaccountuser权限。还要为分发给团队的服务帐户创建rsa密钥。
2. 使用gcloud auth activate-service-account切换到服务帐户
3. gcloud init to the service account and setup configuration
4. 使用gcloud compute ssh。

我们希望能够登录到实例作为服务帐户，因为我们在登录前切换了身份。但是我们没有达到预期的效果。

问题 -

1. 服务帐户是否可以实际用于登录计算引擎？
2. 如果没有，在GCP上创建VM时配置服务帐户的目的是什么。
3. 如果没有，使用每个人都可以访问的系统帐户在计算引擎上运行服务的正确方法是什么？
4. 如果是，我们缺少什么？

非常感谢您提前解决混乱问题，

Answer 1

服务帐户允许Compute Engine实例访问其他Google API。例如，实例可能需要从存储桶访问私有内容或连接到数据存储。见https://cloud.google.com/iam/docs/service-accounts

为了让您的团队成员（ssh）能够访问计算引擎实例，您可以通过添加他们的Google帐户将其添加为项目成员。指定他们的访问级别，以便他们只能列出和ssh，但不能创建或删除。我想你想要一个新的角色＆＃34; Compute OS Login＆＃34;允许。他们也不需要设置账单。见https://cloud.google.com/iam/docs/granting-changing-revoking-access