Cloud Run API を有効にすると ([開発コンソール] → [Cloud Run] → [有効にする])、5 つのサービス アカウントが作成されます。彼らの目的を理解したい。最小特権アクセス用に構成するのが私の責任かどうかを知る必要があります。
に役割Default compute service accountがあります。EditorこれはCloud Run ランタイム サービス アカウントです。その目的は明確であり、最小特権アクセス用に構成するのが私の責任であることを知っています。
に役割App Engine default service accountがあります。これは、 Cloud Functions ランタイム サービス アカウントEditorの説明と一致します。Cloud Run ランタイム サービス アカウントが存在するため、その目的は不明です。最小特権アクセス用に構成するのが私の責任かどうかはわかりません。
( role )とGoogle Container Registry Service Agent( role) はどちらも「Google Cloud Platform サービスの API にアクセスするために使用される」Google マネージド サービス アカウントです。EditorGoogle Cloud Run Service AgentCloud Run Service Agent
Google が管理するサービス アカウントが最小特権アクセス用に構成されていることを確認したい。また、GCP コンソールの IAM セクションで、Google が管理するサービス アカウントをフィルタリングできるようにしたいと考えています。とはいえ、それらを無視する必要があることはわかっています。
名前のない{project-number}{at}cloudbuild.gserviceaccount.comサービス アカウントにはCloud Build Service Account役割があります。このサービス アカウントは「ビルドを実行できます」が、Cloud Run Building Containersドキュメントには表示されません。継続的な展開に使用されますが、追加のユーザー構成なしではそれを行うことはできません. これは Google が管理するサービス アカウントではありませんが、ランタイム サービス アカウントのように GCP コンソールの [サービス アカウント] セクションには表示されません。その目的は不明です。最小特権アクセス用に構成するのが私の責任かどうかはわかりません。