建立使用者代管的服務帳戶的 VM

本文說明如何建立虛擬機器 (VM) 執行個體，並將其設為使用使用者管理的服務帳戶。服務帳戶是一種特殊的帳戶，通常由應用程式或運算工作負載使用，用於發出授權的 API 呼叫。

在以下情境中，工作負載 (例如自訂應用程式) 需要存取 Google Cloud 資源或執行操作，而不需要使用者介入，就需要使用服務帳戶。如要進一步瞭解何時應使用服務帳戶，請參閱「使用服務帳戶的最佳做法」。

如果應用程式需要呼叫 Google Cloud API，Google 建議您將使用者管理的服務帳戶附加至執行應用程式或工作負載的 VM。接著，您會為服務帳戶授予 IAM 角色，讓服務帳戶 (以及在 VM 上執行的應用程式) 能夠存取Google Cloud 資源。

事前準備

• 如果尚未設定，請先設定驗證機制。「驗證」是指驗證身分，以便存取 Google Cloud 服務和 API 的程序。如要從本機開發環境執行程式碼或範例，請選取下列任一選項，以便對 Compute Engine 進行驗證：
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  1. After installing the Google Cloud CLI, initialize it by running the following command:

     gcloud init

     If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  2. Set a default region and zone.

  Terraform

  如要在本機開發環境中使用本頁面的 Terraform 範例，請先安裝並初始化 gcloud CLI，然後使用您的使用者憑證設定應用程式預設憑證。

  1. Install the Google Cloud CLI.

  2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  3. To initialize the gcloud CLI, run the following command:

     gcloud init

  4. If you're using a local shell, then create local authentication credentials for your user account:

     gcloud auth application-default login

     You don't need to do this if you're using Cloud Shell.

     If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

  詳情請參閱 Set up authentication for a local development environment。

  REST

  如要在本機開發環境中使用本頁的 REST API 範例，請使用您提供給 gcloud CLI 的憑證。

  After installing the Google Cloud CLI, initialize it by running the following command:

  gcloud init

  If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  詳情請參閱 Google Cloud 驗證說明文件中的「驗證以使用 REST」。

必要的角色

如要取得建立使用服務帳戶的 VM 所需的權限，請要求管理員在專案中授予您下列 IAM 角色：

• Compute 執行個體管理員 (v1) (roles/compute.instanceAdmin.v1)
• 建立服務帳戶 (roles/iam.serviceAccountCreator)
• 專案 IAM 管理員 (roles/resourcemanager.projectIamAdmin)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

這些預先定義的角色包含建立使用服務帳戶的 VM 所需的權限。如要查看確切的必要權限，請展開「必要權限」部分：

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

總覽

建議您為 VM 設定服務帳戶，如下所示：

1. 建立新的使用者管理服務帳戶，而不使用 Compute Engine 預設服務帳戶，並只針對該服務帳戶需要的資源和作業，授予 IAM 角色。
2. 將服務帳戶附加至 VM。
3. 在 VM 上設定雲端平台 (https://www.googleapis.com/auth/cloud-platform) 範圍。這樣一來，VM 的服務帳戶就能呼叫具有使用權限的 Google Cloud API。
   • 如果您使用 Google Cloud 主控台指定服務帳戶，VM 的存取權範圍會自動預設為 cloud-platform 範圍。
   • 如果您使用 Google Cloud CLI 或 Compute Engine API 指定服務帳戶，可以使用 scopes 參數設定存取範圍。

設定服務帳戶

建立服務帳戶並指派必要的 IAM 角色。視需要指派多或少的 IAM 角色。您可以視需要修改服務帳戶的 IAM 角色。

Google 建議您限制服務帳戶的權限，並定期檢查服務帳戶權限，確保權限保持最新狀態。

請使用下列其中一種方法設定服務帳戶。

resource "google_service_account" "default" {
  account_id   = "service-account-id"
  display_name = "Service Account"
}

建立 VM 並附加服務帳戶

建立服務帳戶後，請建立 VM 並附加您在上一個部分建立的服務帳戶。並將 VM 的存取範圍設為 cloud-platform。

如果您已擁有現有的 VM，且想要將該 VM 設定為使用其他服務帳戶，請參閱「變更已附加的服務帳戶」。

請使用下列其中一種方法建立 VM 並附加服務帳戶。

gcloud compute instances create VM_NAME \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --scopes=https://www.googleapis.com/auth/cloud-platform

gcloud compute instances create example-vm \
    --service-account 123-my-sa@my-project-123.iam.gserviceaccount.com \
    --scopes=https://www.googleapis.com/auth/cloud-platform

resource "google_compute_instance" "default" {
  name         = "my-test-vm"
  machine_type = "n1-standard-1"
  zone         = "us-central1-a"

  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-11"
    }
  }

  // Local SSD disk
  scratch_disk {
    interface = "SCSI"
  }

  network_interface {
    network = "default"

    access_config {
      // Ephemeral public IP
    }
  }

  service_account {
    # Google recommends custom service accounts with `cloud-platform` scope with
    # specific permissions granted via IAM Roles.
    # This approach lets you avoid embedding secret keys or user credentials
    # in your instance, image, or app code
    email  = google_service_account.default.email
    scopes = ["cloud-platform"]
  }
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
   "machineType":"zones/MACHINE_TYPE_ZONE/machineTypes/MACHINE_TYPE",
   "name":"VM_NAME",
   
   "disks":[
      {
         "initializeParams":{
            "sourceImage":"projects/IMAGE_PROJECT/global/images/IMAGE"
         },
         "boot":true
      }
   ],
   
   
   "networkInterfaces":[
      {
         "network":"global/networks/NETWORK_NAME"
      }
   ],
   
  "serviceAccounts": [
      {
      "email": "SERVICE_ACCOUNT_EMAIL",
      "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
      }
   ],
   "shieldedInstanceConfig":{
      "enableSecureBoot":"ENABLE_SECURE_BOOT"
   }
}

存取及使用其他 Google Cloud 服務

設定 VM 以使用服務帳戶後，應用程式就能使用服務帳戶進行驗證。最常見的方法是使用應用程式預設憑證和用戶端程式庫進行驗證。部分 Google Cloud 工具 (例如 gcloud CLI) 可自動使用服務帳戶，從 VM 存取 API。 Google Cloud 詳情請參閱「使用服務帳戶驗證工作負載」。

如果刪除服務帳戶，應用程式就無法再透過該服務帳戶存取Google Cloud 資源。如果您刪除了預設的 App Engine 和 Compute Engine 服務帳戶，VM 將無法再存取專案中的資源。如果您不確定是否會使用服務帳戶，Google 建議您在刪除之前先停用服務帳戶。停用的服務帳戶如果仍要使用，可重新啟用。

範例：從 VM 存取 Cloud Storage 資源

將 VM 設定為使用具有 storage.admin 角色的服務帳戶後，您就可以使用 gcloud CLI 等工具管理儲存在 Cloud Storage 中的檔案。如要存取 Cloud Storage 資源，請完成下列步驟：

1. 請確認已附加至 VM 的服務帳戶具備 roles/storage.admin 角色。

2. 如果您的 VM 使用自訂 OS 映像檔，請安裝 gcloud CLI。根據預設，gcloud CLI 會安裝在 Google Cloud提供的大多數公開 OS 映像檔中。

3. 連線至 VM。

4. 在 VM 中使用 Google Cloud CLI 管理 Cloud Storage 資源。

後續步驟

• 瞭解如何使用服務帳戶驗證工作負載。
• 瞭解如何變更 VM 所附服務帳戶。
• 瞭解如何列出及編輯服務帳戶。
• 詳閱服務帳戶的最佳做法，並降低安全性風險。