Comptes de service Cloud Workstations

Cette page décrit les comptes de service créés et gérés par Cloud Workstations. Cloud Workstations crée deux comptes de service :

• Agent de service Cloud Workstations
• Compte de service par défaut des VM Cloud Workstations

Ces comptes appartiennent à Google, mais ils sont spécifiques à votre projet. Ils ne sont supprimés que lorsque vous supprimez votre projet. Vous risquez de rencontrer des interruptions de service si vous modifiez les autorisations accordées à ces comptes de service.

Agent de service Cloud Workstations

L'agent de service Cloud Workstations utilise le format d'adresse e-mail suivant :

service-PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com

Cet agent de service permet à Cloud Workstations de remplir ses fonctions de service sur votre projet. Par défaut, cet agent de service se voit automatiquement attribuer le rôle IAM d'agent de service Workstations (roles/workstations.serviceAgent) sur votre projet.

La révocation ou la modification des autorisations de cet agent de service empêche Cloud Workstations d'accéder aux ressources de calcul et réseau qui alimentent vos postes de travail. Pour éviter toute interruption de service, ne modifiez pas les autorisations de l'agent de service.

Compte de service par défaut de la VM Cloud Workstations

Les stations de travail sont hébergées sur des instances Compute Engine. Lorsque vous créez une station de travail, vous pouvez spécifier un compte de service à associer à l'instance Compute Engine sous-jacente. Si vous ne spécifiez pas de compte de service, le compte de service par défaut de la VM Cloud Workstations pour votre projet est utilisé.

Le compte de service par défaut de la VM Cloud Workstations utilise le format d'adresse e-mail suivant :

service-PROJECT_NUMBER@gcp-sa-workstationsvm.iam.gserviceaccount.com

L'utilisation du compte de service par défaut de la VM Cloud Workstations présente les limites suivantes :

• La journalisation de la sortie du conteneur Cloud Workstations n'est pas prise en charge.
• L'emprunt d'identité d'un compte de service n'est pas accepté.
• Vous ne pouvez pas utiliser ssh pour vous connecter à la VM attribuée aux stations de travail qui utilisent cette configuration.

Pour éviter ces limites, vous pouvez spécifier un compte de service dans la configuration de votre poste de travail. Pour en savoir plus, consultez Personnaliser l'environnement.

Étapes suivantes

• Authentifiez-vous et configurez l'accès à l'API dans un poste de travail.
• Contrôle des accès avec IAM