このページでは、Cloud Workstations によって作成および管理されるサービス アカウントについて説明します。Cloud Workstations は、次の 2 つのサービス アカウントを作成します。
Google はこれらのアカウントを所有していますが、これらのアカウントはプロジェクトに固有のものです。これらは、プロジェクトを削除した場合にのみ削除されます。これらのサービス アカウントに付与された権限を変更すると、サービスが中断する可能性があります。
Cloud Workstations サービス エージェント
Cloud Workstations サービス エージェントは、次のメール形式を使用します。
service-PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com
このサービス エージェントにより、Cloud Workstations はプロジェクトでサービス作業を実行できます。デフォルトでは、このサービス エージェントにはプロジェクトの Workstations サービス エージェント(roles/workstations.serviceAgent)IAM ロールが自動的に付与されます。
このサービス エージェントの権限を取り消すか変更すると、Cloud Workstations はワークステーションをバックアップするコンピューティング リソースとネットワーク リソースにアクセスできなくなります。サービスの中断を避けるため、サービス エージェントの権限は変更しないでください。
Cloud Workstations VM のデフォルトのサービス アカウント
ワークステーションは Compute Engine インスタンスでホストされます。ワークステーションを作成するときに、基盤となる Compute Engine インスタンスに接続するサービス アカウントを指定できます。サービス アカウントを指定しない場合、プロジェクトの Cloud Workstations VM のデフォルト サービス アカウントが使用されます。
Cloud Workstations VM のデフォルト サービス アカウントは、次のメール形式を使用します。
service-PROJECT_NUMBER@gcp-sa-workstationsvm.iam.gserviceaccount.com
Cloud Workstations VM のデフォルト サービス アカウントの使用には、次の制限事項があります。
- Cloud Workstations コンテナ出力ロギングはサポートされていません。
- サービス アカウントの権限借用はサポートされていません。
sshを使用して、この構成を使用するワークステーションに割り当てられた VM に接続することはできません。
このような制限を回避するには、ワークステーション構成でサービス アカウントを指定します。詳細については、環境をカスタマイズするをご覧ください。