En esta página se describen las cuentas de servicio creadas y gestionadas por Cloud Workstations. Cloud Workstations crea dos cuentas de servicio:
- Agente de servicio de Cloud Workstations
- Cuenta de servicio predeterminada de la VM de Cloud Workstations
Google es el propietario de estas cuentas, pero son específicas de tu proyecto. Solo se eliminan cuando eliminas tu proyecto. Si cambias los permisos concedidos a estas cuentas de servicio, es posible que se produzcan interrupciones del servicio.
Agente de servicio de Cloud Workstations
El agente de servicio de Cloud Workstations usa el siguiente formato de correo:
service-PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com
Este agente de servicio permite que Cloud Workstations realice tareas de servicio en tu proyecto. De forma predeterminada, a este agente de servicio se le concede automáticamente el rol de gestión de identidades y accesos Agente de servicio de Workstations (roles/workstations.serviceAgent) en tu proyecto.
Si revocas o cambias los permisos de este agente de servicio, Cloud Workstations no podrá acceder a los recursos de computación y de red que respaldan tus estaciones de trabajo. Para evitar interrupciones en el servicio, no modifiques los permisos del agente de servicio.
Cuenta de servicio predeterminada de la VM de Cloud Workstations
Las estaciones de trabajo se alojan en instancias de Compute Engine. Cuando creas una estación de trabajo, puedes especificar una cuenta de servicio que se asocie a la instancia de Compute Engine subyacente. Si no especificas ninguna cuenta de servicio, se usará la cuenta de servicio predeterminada de la VM de Cloud Workstations de tu proyecto.
La cuenta de servicio predeterminada de la VM de Cloud Workstations usa el siguiente formato de correo:
service-PROJECT_NUMBER@gcp-sa-workstationsvm.iam.gserviceaccount.com
Usar la cuenta de servicio predeterminada de la VM de Cloud Workstations tiene las siguientes limitaciones:
- No se admite el registro de la salida de contenedores de Cloud Workstations.
- No se admite la suplantación de cuentas de servicio.
- No puedes usar
sshpara conectarte a la VM asignada a las estaciones de trabajo que usan esta configuración.
Para evitar estas limitaciones, puedes especificar una cuenta de servicio en la configuración de tu estación de trabajo. Para obtener más información, consulta Personalizar el entorno.
Siguientes pasos
- Autenticar y configurar el acceso a la API en una estación de trabajo.
- Control de acceso con gestión de identidades y accesos.