GCPのSAの種類
SAには大きく分けて以下の2種類あります。
- Service Account
- Service Agent
それぞれ簡単に説明します。
Service Acount
ユーザ管理のサービスアカウント。
コンソールやgcloudコマンド(CLI)を利用して、最大100個まで作成できます。
hogehoge@{project-id}.iam.gserviceaccount.com
サービスアカウントを削除すると、同じ名前で作成し直したとしても
ついていたロールは剥がれてしまうので削除する際は注意が必要です。
Service Agent
Google管理のサービスエージェント。
Google Cloudのサービス間で用いられます。
サービスエージェントの一覧は以下にまとめてあります。
サービスのAPIを有効化した際に該当のサービスエージェントがGoogle側で自動で作成されます。
その際、上記のドキュメントの右の列に記載されているロールが自動で付与されます。
(IAMのコンソールで「Google 提供のロール付与を含める」にチェックを入れると出てきます。)
ロールの記載がないサービスエージェントはコンソールのIAMの一覧には出てきませんが
こっそり作成されています。
(IAMのコンソールはロールが付与されているものしか表示されない仕様みたいです。)
また、サービスエージェントにも任意のロールを付与することができます。
サービスエージェントも自由に編集、削除ができますが、取り扱いには注意が必要です。
誤って消してしまった場合、APIを無効化して有効化することで再度作成されます。