配置使用 AWS 或 Azure 的工作负载身份联合

本指南介绍了如何使用工作负载身份联合，让 AWS 和 Azure 工作负载无需服务账号密钥即可向 Google Cloud 进行身份验证。

借助工作负载身份联合，在 AWS EC2 和 Azure 上运行的工作负载可以将其特定于环境的凭据交换为短期有效的 Google CloudSecurity Token Service 令牌。

特定于环境的凭据包括：

• AWS EC2 实例可以使用实例配置文件来请求临时凭据。
• Azure 虚拟机可以使用托管式身份来获取 Azure 访问令牌。

通过设置工作负载身份联合，您可以让这些工作负载将特定于环境的凭据交换为短期有效的 Google Cloud 凭据。工作负载可以使用这些短期有效的凭据访问Google Cloud API。

准备工作

• 设置身份验证。

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  In the Google Cloud console, activate Cloud Shell.

  Activate Cloud Shell

  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  Python

  如需在本地开发环境中使用本页面上的 Python 示例，请安装并初始化 gcloud CLI，然后使用您的用户凭据设置应用默认凭据。

  1. Install the Google Cloud CLI.

  2. To initialize the gcloud CLI, run the following command:

     gcloud init

  3. If you're using a local shell, then create local authentication credentials for your user account:

     gcloud auth application-default login

     You don't need to do this if you're using Cloud Shell.

  Google Cloud

准备外部身份提供方

您只需为每个 Microsoft Entra ID 租户或 AWS 账号执行一次这些步骤。

配置工作负载身份联合

您只需为每个 AWS 账号或 Microsoft Entra ID 租户执行一次这些步骤。然后，您可以为多个工作负载以及多个 Google Cloud 项目使用相同的工作负载身份池和提供方。

如需开始配置工作负载身份联合，请执行以下操作：

1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

最好使用专用项目来管理工作负载身份池和提供方。

2. Make sure that billing is enabled for your Google Cloud project.

Enable the IAM, Resource Manager, Service Account Credentials, and Security Token Service APIs.

Enable the APIs

定义属性映射和条件

AWS 或 Azure 工作负载的特定于环境的凭据包含多个属性，您必须决定要在 Google Cloud中用作主体标识符 (google.subject) 的属性。

Google Cloud 在 Cloud Audit Logs 和主账号标识符中使用主体标识符来唯一标识 AWS 或者 Azure 用户或角色。

您也可以视需要映射其他属性。然后，您可以在授予对资源的访问权限时引用这些附加特性。

google.subject=assertion.arn
attribute.account=assertion.account
attribute.aws_role=assertion.arn.extract('assumed-role/{role}/')
attribute.aws_ec2_instance=assertion.arn.extract('assumed-role/{role_and_session}').extract('/{session}')

google.subject=assertion.sub

您可以视需要定义特性条件。特性条件是可以检查断言特性和目标特性的 CEL 表达式。如果给定凭据的特性条件评估结果为 true，则接受凭据。否则，凭据会被拒绝。

assertion.arn.startsWith('arn:aws:sts::AWS_ACCOUNT_ID:assumed-role/')

创建工作负载身份池和提供方

现在，您已经收集了创建工作负载身份池和提供方所需的全部信息：

对工作负载进行身份验证

您必须为每个工作负载执行一次这些步骤。

允许外部工作负载访问 Google Cloud 资源

为了向您的工作负载提供对 Google Cloud 资源的访问权限，我们建议您向该主账号授予直接资源访问权限。在这种情况下，主账号是联合身份用户。某些 Google Cloud 产品存在 Google Cloud API 限制。如果您的工作负载调用存在限制的 API 端点，您可以改用服务账号模拟。在这种情况下，主账号是Google Cloud 服务账号，可充当身份。您可以向此服务账号授予资源的访问权限。

1. 如需让联合身份模拟服务账号，请执行以下操作：

   控制台

   如需使用 Google Cloud 控制台向具有服务账号的联合身份授予 IAM 角色，请执行以下操作：

   同一项目中的服务账号

   1. 如需使用服务账号模拟为同一项目中的服务账号授予访问权限，请执行以下操作：

      1. 进入工作负载身份池页面。

         转到“工作负载身份池”

      2. 选择授予访问权限。

      3. 在向服务账号授予访问权限对话框中，选择使用服务账号模拟授予访问权限。

      4. 在服务账号列表中，选择要模拟的外部身份的服务账号，然后执行以下操作：

      5. 如需选择池中的哪些身份可以模拟服务账号，请执行以下操作之一：

         • 如需仅允许工作负载身份池的特定身份模拟服务账号，请选择仅限与过滤条件匹配的身份。

         • 在属性名称列表中，选择您要作为过滤依据的属性。

         • 在属性值字段中，输入属性的预期值；例如，如果您使用属性映射 google.subject=assertion.sub，请将属性名称设置为 subject，并将属性值设置为外部身份提供方颁发的令牌中 sub 声明的值。

      6. 如需保存配置，请点击保存，然后点击关闭。

   不同项目中的服务账号

   1. 如需使用服务账号模拟为不同项目中的服务账号授予访问权限，请执行以下操作：

      1. 转到服务账号页面。

         转到“服务账号”

      2. 选择要模拟的服务账号。

      3. 点击管理访问权限。

      4. 点击添加主账号。

      5. 在新建主账号字段中，为身份池中要模拟服务账号的身份输入以下主账号标识符之一。

         按主体

         principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT
         

         替换以下内容：

         • PROJECT_NUMBER：项目编号
         • POOL_ID：工作负载池 ID
         • SUBJECT：从您的 IdP 映射的单个主体，例如 administrator@example.com

         按群组

         principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP
         

         替换以下内容：

         • PROJECT_NUMBER：项目编号
         • WORKLOAD_POOL_ID：工作负载池 ID
         • GROUP：从您的 IdP 映射的群组，例如：administrator-group@example.com

         按特性

         principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
         

         替换以下内容：

         • PROJECT_NUMBER：项目编号
         • WORKLOAD_POOL_ID：工作负载池 ID
         • ATTRIBUTE_NAME：从您的 IdP 映射的属性之一
         • ATTRIBUTE_VALUE：属性的值

         按池

         principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
         

         替换以下内容：

         • PROJECT_NUMBER：项目编号
         • WORKLOAD_POOL_ID：工作负载池 ID

      6. 在选择角色中，选择 Workload Identity User 角色 (roles/iam.workloadIdentityUser)。

      7. 如需保存配置，请点击保存。

   gcloud

   如需向联合主账号或主账号集授予 Workload Identity User 角色 (roles/iam.workloadIdentityUser)，请运行以下命令。如需详细了解 Workload Identity Federation 主账号标识符，请参阅主账号类型。

   按主体

   gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
       --role=roles/iam.workloadIdentityUser \
       --member="principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT"

   按群组

   gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
       --role=roles/iam.workloadIdentityUser \
       --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP"

   按属性

   gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_EMAIL \
       --role=roles/iam.workloadIdentityUser \
       --member="principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE"

   替换以下内容：

   • SERVICE_ACCOUNT_EMAIL：服务账号的电子邮件地址
   • PROJECT_NUMBER：包含工作负载身份池的项目的编号
   • POOL_ID：工作负载身份池的池 ID
   • SUBJECT：已映射到 google.subject 的特性的预期值
   • GROUP：已映射到 google.groups 的特性的预期值
   • ATTRIBUTE_NAME：特性映射中的自定义特性的名称
   • ATTRIBUTE_VALUE：属性映射中的自定义属性的值

下载或创建凭据配置

Cloud 客户端库、gcloud CLI 和 Terraform 可以自动获取外部凭据，并使用这些凭据来模拟服务账号。为了让库和工具完成此过程，您必须提供凭据配置文件。此文件定义以下内容：

• 从何处获取外部凭据
• 要使用的工作负载身份池和提供商
• 需要模拟的服务账号

如需创建凭据配置文件，请执行以下操作：

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --aws \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --aws \
    --enable-imdsv2 \
    --output-file=FILEPATH.json

gcloud iam workload-identity-pools create-cred-config \
    projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID \
    --service-account=SERVICE_ACCOUNT_EMAIL \
    --service-account-token-lifetime-seconds=SERVICE_ACCOUNT_TOKEN_LIFETIME \
    --azure \
    --app-id-uri APPLICATION_ID_URI \
    --output-file=FILEPATH.json

使用凭据配置访问 Google Cloud

如需使工具和客户端库使用您的凭据配置，请在 AWS 或 Azure 环境中执行以下操作：

1. 初始化环境变量 GOOGLE_APPLICATION_CREDENTIALS 并将其指向凭据配置文件：

   Bash

     export GOOGLE_APPLICATION_CREDENTIALS=`pwd`/FILEPATH.json
     

   其中，FILEPATH 是凭据配置文件的相对路径。

   PowerShell

     $env:GOOGLE_APPLICATION_CREDENTIALS = Resolve-Path 'FILEPATH.json'
     

   其中，FILEPATH 是凭据配置文件的相对路径。

2. 使用支持工作负载身份联合并且可以自动查找凭据的客户端库或工具：

   C++

   从 v2.6.0 版开始，Google Cloud C++ 版客户端库支持工作负载身份联合。如需使用工作负载身份联合，您必须使用 1.36.0 版或更高版本的 gRPC 构建客户端库。

   Go

   如果 Go 客户端库使用 golang.org/x/oauth2 模块的 v0.0.0-20210218202405-ba52d332ba99 版本或更高版本，则客户端库支持工作负载身份联合。

   如要查看客户端库使用的模块版本，请运行以下命令：

   cd $GOPATH/src/cloud.google.com/go
   go list -m golang.org/x/oauth2
   

   Java

   如果 Java 客户端库使用 com.google.auth:google-auth-library-oauth2-http 工件的 0.24.0 版或更高版本，则客户端支持工作负载身份联合。

   如需查看该客户端库使用的工件版本，请在应用目录中运行以下 Maven 命令：

   mvn dependency:list -DincludeArtifactIds=google-auth-library-oauth2-http
   

   Node.js

   如果 Node.js 版客户端库使用 7.0.2 版或更高版本的 google-auth-library 软件包，则该客户端库支持工作负载身份联合。

   如要查看客户端库使用的软件包版本，请在应用目录中运行以下命令：

   npm list google-auth-library
   

   创建 GoogleAuth 对象时，您可以指定项目 ID，也可以允许 GoogleAuth 自动查找项目 ID。如要自动查找项目 ID，配置文件中的服务账号必须具有项目的 Browser 角色 (roles/browser) 或具有同等权限的角色。如需了解详情，请参阅 google-auth-library 软件包的 README。

   Python

   如果 Python 客户端库使用 google-auth 软件包的 1.27.0 版本或更高版本，则客户端支持工作负载身份联合。

   如要检查客户端库使用的软件包版本，请在已安装该软件包的环境中运行以下命令：

   pip show google-auth
   

   如要为身份验证客户端指定项目 ID，您可以设置 GOOGLE_CLOUD_PROJECT 环境变量，也可以允许客户端自动查找项目 ID。如要自动查找项目 ID，配置文件中的服务账号必须具有项目的 Browser 角色 (roles/browser) 或具有同等权限的角色。如需了解详情，请参阅 google-auth 软件包用户指南。

   gcloud

   如需使用工作负载身份联合进行身份验证，请使用 gcloud auth login 命令：

   gcloud auth login --cred-file=FILEPATH.json
   

   将 FILEPATH 替换为凭据配置文件的路径。

   版本 363.0.0 及更高版本的 gcloud CLI 支持 gcloud CLI 中的工作负载身份联合。

   Terraform

   如果您使用 3.61.0 版或更高版本，则Google Cloud 提供方支持工作负载身份联合：

   terraform {
     required_providers {
       google = {
         source  = "hashicorp/google"
         version = "~> 3.61.0"
       }
     }
   }
   

   bq

   如需使用工作负载身份联合进行身份验证，请使用 gcloud auth login 命令，如下所示：

   gcloud auth login --cred-file=FILEPATH.json
   

   将 FILEPATH 替换为凭据配置文件的路径。

   390.0.0 版及更高版本的 gcloud CLI 支持 bq 中的工作负载身份联合。

   如果您无法使用支持工作负载身份联合的客户端库，则可以使用 REST API 以程序化方式进行身份验证。

高级场景

使用 REST API 对工作负载进行身份验证

如果您无法使用客户端库，可以按照以下步骤让外部工作负载使用 REST API 获取短期有效的访问令牌：

1. 从外部 IdP 获取凭据：

   AWS

   创建一个 JSON 文档，其中包含您通常在向 AWS GetCallerIdentity() 端点发出的请求中包含的信息，包括有效的请求签名。

   工作负载身份联合将此 JSON 文档称为 GetCallerIdentity 令牌。该令牌可让工作负载身份联合验证身份，而无需显示 AWS 私有访问密钥。

   GetCallerIdentity 令牌类似于以下内容：

   {
     "url": "https://sts.amazonaws.com?Action=GetCallerIdentity&Version=2011-06-15",
     "method": "POST",
     "headers": [
       {
         "key": "Authorization",
         "value" : "AWS4-HMAC-SHA256 Credential=AKIASOZTBDV4D7ABCDEDF/20200228/us-east-1/sts/aws4_request, SignedHeaders=host;x-amz-date,Signature=abcedefdfedfd"
       },
       {
         "key": "host",
         "value": "sts.amazonaws.com"
       },
       {
         "key": "x-amz-date",
         "value": "20200228T225005Z"
       },
       {
         "key": "x-goog-cloud-target-resource",
         "value": "//iam.googleapis.com/projects/12345678/locations/global/workloadIdentityPools/my-pool/providers/my-aws-provider"
       },
       {
         "key": "x-amz-security-token",
         "value": "GizFWJTqYX...xJ55YoJ8E9HNU="
       }
     ]
   }
   

   该令牌包含以下字段：

   • url：GetCallerIdentity() 的 AWS STS 端点的网址，附加一个标准 GetCallerIdentity() 请求正文作为查询参数。例如：https://sts.amazonaws.com?Action=GetCallerIdentity&Version=2011-06-15。我们建议您使用区域级 STS 端点并为工作负载设计可靠的基础设施。 如需了解详情，请参阅区域级 AWS STS 端点。
   • method：HTTP 请求方法：POST。
   • headers：HTTP 请求标头，其中必须包含以下内容：
     • Authorization：请求签名。
     • host：url 字段的主机名，例如 sts.amazonaws.com。
     • x-amz-date：您将发送请求的时间，格式为 ISO 8601 Basic 字符串。此值通常设置为当前时间，可帮助防止重放攻击。
     • x-goog-cloud-target-resource：身份提供方的完整资源名称，不含 https: 前缀。例如：

       //iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID
       

     • x-amz-security-token：会话令牌。仅在使用临时安全凭据时才需要。

   以下示例会创建一个网址编码的 GetCallerIdentity 令牌。提取网址编码令牌以备后用。此外，它专门为您的参考创建了一个人类可读的令牌：

   import json
   import urllib
   
   import boto3
   from botocore.auth import SigV4Auth
   from botocore.awsrequest import AWSRequest
   
   
   def create_token_aws(project_number: str, pool_id: str, provider_id: str) -> None:
       # Prepare a GetCallerIdentity request.
       request = AWSRequest(
           method="POST",
           url="https://sts.amazonaws.com/?Action=GetCallerIdentity&Version=2011-06-15",
           headers={
               "Host": "sts.amazonaws.com",
               "x-goog-cloud-target-resource": f"//iam.googleapis.com/projects/{project_number}/locations/global/workloadIdentityPools/{pool_id}/providers/{provider_id}",
           },
       )
   
       # Set the session credentials and Sign the request.
       # get_credentials loads the required credentials as environment variables.
       # Refer:
       # https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html
       SigV4Auth(boto3.Session().get_credentials(), "sts", "us-east-1").add_auth(request)
   
       # Create token from signed request.
       token = {"url": request.url, "method": request.method, "headers": []}
       for key, value in request.headers.items():
           token["headers"].append({"key": key, "value": value})
   
       # The token lets workload identity federation verify the identity without revealing the AWS secret access key.
       print("Token:\n%s" % json.dumps(token, indent=2, sort_keys=True))
       print("URL encoded token:\n%s" % urllib.parse.quote(json.dumps(token)))
   
   
   def main() -> None:
       # TODO(Developer): Replace the below credentials.
       # project_number: Google Project number (not the project id)
       project_number = "my-project-number"
       pool_id = "my-pool-id"
       provider_id = "my-provider-id"
   
       create_token_aws(project_number, pool_id, provider_id)
   
   
   if __name__ == "__main__":
       main()

   初始化以下变量：

   Bash

   SUBJECT_TOKEN_TYPE="urn:ietf:params:aws:token-type:aws4_request"
   SUBJECT_TOKEN=TOKEN
   

   PowerShell

   $SubjectTokenType = "urn:ietf:params:aws:token-type:aws4_request"
   $SubjectToken = "TOKEN"
   

   其中 TOKEN 是由脚本生成的网址编码 GetCallerIdentity 令牌。

   Azure

   连接到具有已分配的托管式身份的 Azure 虚拟机，并从 Azure Instance Metadata Service (IMDS) 获取访问令牌：

   Bash

   SUBJECT_TOKEN_TYPE="urn:ietf:params:oauth:token-type:jwt"
   SUBJECT_TOKEN=$(curl \
     "http://169.254.169.254/metadata/identity/oauth2/token?resource=APP_ID_URI&api-version=2018-02-01" \
     -H "Metadata: true" | jq -r .access_token)
   echo $SUBJECT_TOKEN
   

   此命令使用 jq 工具。jq 默认在 Cloud Shell 中可用。

   PowerShell

   $SubjectTokenType = "urn:ietf:params:oauth:token-type:jwt"
   $SubjectToken = (Invoke-RestMethod `
     -Uri "http://169.254.169.254/metadata/identity/oauth2/token?resource=APP_ID_URI&api-version=2018-02-01" `
     -Headers @{Metadata="true"}).access_token
   Write-Host $SubjectToken
   

   其中，APP_ID_URI 是您已为工作负载身份联合配置的应用的应用 ID URI。

2. 使用 Security Token Service API 将凭据交换为短期有效的访问令牌：

   Bash

   STS_TOKEN=$(curl https://sts.googleapis.com/v1/token \
       --data-urlencode "audience=//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID" \
       --data-urlencode "grant_type=urn:ietf:params:oauth:grant-type:token-exchange" \
       --data-urlencode "requested_token_type=urn:ietf:params:oauth:token-type:access_token" \
       --data-urlencode "scope=https://www.googleapis.com/auth/cloud-platform" \
       --data-urlencode "subject_token_type=$SUBJECT_TOKEN_TYPE" \
       --data-urlencode "subject_token=$SUBJECT_TOKEN" | jq -r .access_token)
   echo $STS_TOKEN
   

   PowerShell

   [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12
   $StsToken = (Invoke-RestMethod `
       -Method POST `
       -Uri "https://sts.googleapis.com/v1/token" `
       -ContentType "application/json" `
       -Body (@{
           "audience"           = "//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/providers/PROVIDER_ID"
           "grantType"          = "urn:ietf:params:oauth:grant-type:token-exchange"
           "requestedTokenType" = "urn:ietf:params:oauth:token-type:access_token"
           "scope"              = "https://www.googleapis.com/auth/cloud-platform"
           "subjectTokenType"   = $SubjectTokenType
           "subjectToken"       = $SubjectToken
       } | ConvertTo-Json)).access_token
   Write-Host $StsToken
   

   替换以下值：

   • PROJECT_NUMBER：包含工作负载身份池的项目的项目编号
   • POOL_ID：工作负载身份池的 ID
   • PROVIDER_ID：工作负载身份池提供方的 ID

3. 如果您使用服务账号模拟，请使用 Security Token Service 中的令牌调用 IAM Service Account Credentials API 的 generateAccessToken 方法来获取访问令牌。

Cloud Run 服务的令牌

访问 Cloud Run 服务时，您必须使用 ID 令牌。

TOKEN=$(curl -0 -X POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateIdToken \
    -H "Content-Type: text/json; charset=utf-8" \
    -H "Authorization: Bearer $STS_TOKEN" \
    -d @- <<EOF | jq -r .token
    {
        "audience": "SERVICE_URL"
    }
EOF
)
echo $TOKEN

$Token = (Invoke-RestMethod `
    -Method POST `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateIdToken" `
    -Headers @{ "Authorization" = "Bearer $StsToken" } `
    -ContentType "application/json" `
    -Body (@{
        "audience" = "SERVICE_URL"
    } | ConvertTo-Json)).token
Write-Host $Token

请替换以下内容：

• SERVICE_ACCOUNT_EMAIL：服务账号的电子邮件地址。
• SERVICE_URL：服务的网址，例如 https://my-service-12345-us-central1.run.app。您也可以将其设置为自定义服务端点。如需了解详情，请参阅了解自定义受众群体。

适用于其他平台的令牌

访问其他服务时，您必须使用访问令牌。

TOKEN=$(curl -0 -X POST https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateAccessToken \
    -H "Content-Type: text/json; charset=utf-8" \
    -H "Authorization: Bearer $STS_TOKEN" \
    -d @- <<EOF | jq -r .accessToken
    {
        "scope": [ "https://www.googleapis.com/auth/cloud-platform" ]
    }
EOF
)
echo $TOKEN

$Token = (Invoke-RestMethod `
    -Method POST `
    -Uri "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:generateAccessToken" `
    -Headers @{ "Authorization" = "Bearer $StsToken" } `
    -ContentType "application/json" `
    -Body (@{
        "scope" = , "https://www.googleapis.com/auth/cloud-platform"
    } | ConvertTo-Json)).accessToken
Write-Host $Token

请替换以下内容：

• SERVICE_ACCOUNT_EMAIL：服务账号的电子邮件地址。

后续步骤

• 详细了解工作负载身份联合。
• 了解使用工作负载身份联合的最佳实践。
• 了解如何管理工作负载身份池和提供方。