Cloud Workstations 服务账号

本页介绍了 Cloud Workstations 创建和管理的服务账号。Cloud Workstations 会创建两个服务账号：

• Cloud Workstations Service Agent
• Cloud Workstations 虚拟机默认服务账号

这些账号为 Google 拥有，但专供您的项目使用。只有在您删除项目时，系统才会删除这些服务代理。如果您更改向这些服务账号授予的权限，可能会遇到服务中断的情况。

Cloud Workstations Service Agent

Cloud Workstations 服务代理使用以下电子邮件地址格式：

service-PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com

此服务代理允许 Cloud Workstations 在您的项目中执行服务任务。默认情况下，此服务代理会自动获得项目的 Workstations Service Agent (roles/workstations.serviceAgent) IAM 角色。

撤消或更改此服务代理的权限会导致 Cloud Workstations 无法访问支持工作站的计算和网络资源。为避免服务中断，请勿修改服务代理的权限。

Cloud Workstations 虚拟机的默认服务账号

工作站托管在 Compute Engine 实例上。创建工作站时，您可以指定要关联到底层 Compute Engine 实例的服务账号。如果您未指定服务账号，系统会使用项目的 Cloud Workstations 虚拟机默认服务账号。

Cloud Workstations 虚拟机默认服务账号使用以下电子邮件地址格式：

service-PROJECT_NUMBER@gcp-sa-workstationsvm.iam.gserviceaccount.com

使用 Cloud Workstations 虚拟机默认服务账号存在以下限制：

• 不支持 Cloud Workstations 容器输出日志记录。
• 不支持模拟服务账号。
• 您无法使用 ssh 连接到分配给使用此配置的工作站的虚拟机。

为避免这些限制，您可以在工作站配置中指定服务账号。如需了解详情，请参阅自定义环境。

后续步骤

• 在工作站内进行身份验证并设置 API 访问权限。
• 使用 IAM 进行访问权限控制。