Cette page décrit les comptes de service créés et gérés par Cloud Workstations. Cloud Workstations crée deux comptes de service:
Ces comptes appartiennent à Google, mais ils sont spécifiques à votre projet. Ils ne sont supprimés que lorsque vous supprimez votre projet. Vous risquez de rencontrer des interruptions de service si vous modifiez les autorisations accordées à ces comptes de service.
Agent de service des stations de travail Cloud
L'agent de service Cloud Workstations utilise le format d'adresse e-mail suivant:
service-PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com
Cet agent de service permet à Cloud Workstations d'effectuer des tâches de service sur votre projet. Par défaut, le rôle IAM Agent de service Workstations (roles/workstations.serviceAgent) est automatiquement attribué à cet agent de service pour votre projet.
La révocation ou la modification des autorisations de cet agent de service empêche Cloud Workstations d'accéder aux ressources de calcul et de réseau qui sous-tendent vos stations de travail. Pour éviter toute interruption de service, ne modifiez pas les autorisations de l'agent de service.
Compte de service par défaut des VM Cloud Workstations
Les stations de travail sont hébergées sur des instances Compute Engine. Lorsque vous créez une station de travail, vous pouvez spécifier un compte de service à associer à l'instance Compute Engine sous-jacente. Si vous ne spécifiez pas de compte de service, le compte de service par défaut de la VM Cloud Workstations de votre projet est utilisé.
Le compte de service par défaut de la VM Cloud Workstations utilise le format d'adresse e-mail suivant:
service-PROJECT_NUMBER@gcp-sa-workstationsvm.iam.gserviceaccount.com
L'utilisation du compte de service par défaut des VM Cloud Workstations présente les limites suivantes:
- La journalisation de la sortie des conteneurs Cloud Workstations n'est pas prise en charge.
- L'emprunt d'identité d'un compte de service n'est pas compatible.
- Vous ne pouvez pas utiliser
sshpour vous connecter à la VM attribuée aux stations de travail qui utilisent cette configuration.
Pour éviter ces limites, vous pouvez spécifier un compte de service dans la configuration de votre station de travail. Pour en savoir plus, consultez la section Personnaliser l'environnement.
Étape suivante
- Authentifiez-vous et configurez l'accès à l'API dans une station de travail.
- Contrôle des accès avec IAM