このページでは、Cloud Workstations によって作成および管理されるサービス アカウントについて説明します。Cloud Workstations は、次の 2 つのサービス アカウントを作成します。
Google が所有するこれらのアカウントは、プロジェクトに固有のものです。これらのロールは、プロジェクトを削除した場合にのみ削除されます。これらのサービス アカウントに付与された権限を変更すると、サービスが中断する可能性があります。
Cloud Workstations サービス エージェント
Cloud Workstations サービス エージェントのメールアドレスの形式は次のとおりです。
service-PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com
このサービス エージェントにより、Cloud Workstation がプロジェクトでサービス作業を実行できるようになります。デフォルトでは、このサービス エージェントにはプロジェクトの Workstations サービス エージェント(roles/workstations.serviceAgent)IAM ロールが自動的に付与されます。
このサービス エージェントの権限を取り消すか変更すると、Cloud Workstations はワークステーションの基盤となるコンピューティング リソースとネットワーク リソースにアクセスできなくなります。サービスの中断を回避するため、サービス エージェントの権限は変更しないでください。
Cloud Workstations VM のデフォルトのサービス アカウント
ワークステーションは Compute Engine インスタンスでホストされます。ワークステーションの作成時に、基盤となる Compute Engine インスタンスに接続するサービス アカウントを指定できます。サービス アカウントを指定しない場合、プロジェクトの Cloud Workstations VM のデフォルトのサービス アカウントが使用されます。
Cloud Workstations VM のデフォルトのサービス アカウントは、次のメール形式を使用します。
service-PROJECT_NUMBER@gcp-sa-workstationsvm.iam.gserviceaccount.com
Cloud Workstations VM のデフォルトのサービス アカウントを使用するには、次の制限があります。
- Cloud Workstations コンテナ出力ロギングはサポートされていません。
- サービス アカウントの権限借用はサポートされていません。
sshを使用して、この構成を使用するワークステーションに割り当てられた VM に接続することはできません。
これらの制限を回避するには、ワークステーション構成でサービス アカウントを指定します。詳細については、環境をカスタマイズするをご覧ください。