在哪里可以查看 PubSub 服务帐号？

Posted 2023-02-16

【中文标题】在哪里可以查看 PubSub 服务帐号？

【英文标题】：Where can I see the PubSub service account?

【发布时间】：2021-12-02 17:21:31

【问题描述】：

PubSub 服务帐号是service-<PROJECT_NUMBER>@gcp-sa-pubsub.iam.gserviceaccount.com

命令described here创建IAM策略绑定成功，说明服务账号存在。

但它并没有出现在

控制台https://console.cloud.google.com/iam-admin/serviceaccounts?project=<PROJECT>中的服务帐户列表（下面的屏幕截图） 不在 IAM 权限列表中 https://console.cloud.google.com/iam-admin/iam?project=<PROJECT> ，即使我选中“包括 Google 提供的角色授权” 也不在gcloud iam service-accounts list --project <PROJECT>的输出中。

在哪里可以看到列出的此服务帐户？

【问题讨论】：

您可以试试下面的command 并检查您是否可以看到 Pub/Sub Google 托管服务帐户。您还可以通过选中“包括 Google 提供的角色授权”来提供 IAM 页面的屏幕截图，同时隐藏所有敏感信息吗？ gcloud beta asset search-all-iam-policies

为此 SA 生成策略没有问题。它只是不出现在 GUI 中，包括 IAM 页面。我宁愿不分享它，因为它很敏感，但我搜索了 sa-pubsub，确保列出了所有帐户（即没有多个页面）

【参考方案1】：

service-<PROJECT_NUMBER>@gcp-sa-pubsub.iam.gserviceaccount.com 是Google managed service account，因此，您可以在您的项目服务帐户列表中看到它。

此外，您已在 TOPIC 资源而非 PROJECT 资源上授予此服务帐户。因此，当您进入 iam-admin 页面时，您可以在 PROJECT 资源中看到服务帐户。

无论如何，您可以通过检查Include Google-provided role grants在iam-admin页面中查看它

由于您已在 TOPIC 资源级别授予服务帐户，因此您可以在 TOPIC 页面中看到它

转到topic page，检查一个主题并转到右侧面板的权限部分，查看您在服务帐户上授予的角色。你会发现它

【讨论】：

谢谢。它不会出现在 IAM 用户列表中，即使启用了“包括 Google...”选项，它也不会出现在 SA 页面中（请参阅添加的屏幕截图），也不会出现在 gcloud iam service-accounts list --project 。奇怪的。但是，它确实出现在主题权限中。

SA页面，正常。包含 Google 提供的选项的 IAM 页面，这取决于服务帐户是否具有项目级别的权限（显然没有），是的，您会看到它是主题级别，因为您运行的命令是 gcloud pubsub topics add-iam-policy-binding ->您在 pubsub/topic 级别添加策略绑定。

谢谢：“这取决于服务帐户是否具有项目级别的权限”所以我想这就是解释。在您创建策略之前，这个由 Google 管理的 SA 是隐藏的，这似乎有问题。

同意和不同意。同意您何时开始并且您想知道/看看您的项目中发生了什么。不同意，因为当您使用自动化和脚本时，您不在乎是否看到它，它是自动的，您无需担心。一切都取决于您的旅程阶段！