Service Account 遇上 IAM

今天要來介紹的是服務帳號，服務帳號的類型以及適用於服務帳號的IAM角色。

嚴格說起來Service Account可應用的範圍在GCP來說可以說非常的廣泛，在Service Account的使用情境我認為比較抽象的狀態可以去理解他是一個虛擬使用者，但在使用上與使用者Mail的方式基本上是一致的，他會生成綁定在一組特定帳號上。

Service Account與使用者或使用群組差異：

1. 服務帳號是不需要帳密也沒有，使用的驗證有產生Json Key(多半綁定程式)還有認證或是VM(GCE) 防火牆等...GCP上服務綁定使用。
2. 服務帳號不是Google Workspace網域的成員。如果Google Workspace網域中的所有成員共享Google Workspace資源(例如文檔或事件)，則無法與服務帳號共享這些資源，大致就是可以理解虛擬使用者。

IAM如何使用Service Account：

1. 選擇IAM與管理 服務帳戶 會有三個步驟

2. 建立該使用者Service Account名稱，選擇該帳號所需角色權限（步驟與昨天所說的IAM設定個別使用者權限一致）如下圖：
   
   

3. 當建立完成該Service Account可在 服務帳戶 選單中看到也可在IAM列表中(如果有選擇角色得話)

4. 最後是若需要對此帳號使用權限可以建立Json Key，適合在當外部需要調用Google中服務權限使用，但千萬要 注意 該金鑰要好好保存，因為若被有心人士取得那就相當破露出該權限的大門，如下圖：