Сервисные агенты

Сервисный агент — это служебная учетная запись, которая позволяет одному облачному сервису работать с ресурсами другого облачного сервиса. Например, при развертывании кластера Managed Kubernetes необходимо запросить у сервиса Compute создание виртуальных машин, которые выступают в качестве узлов кластера. Выполнять такие операции от имени пользовательского аккаунта небезопасно, поэтому для них используется сервисный агент.

Сервисный агент создается автоматически при активации сервиса в проекте, создать или удалить его вручную невозможно.

При создании сервисный агент получает роль <имя сервиса>.agent. Эта роль включает минимальные разрешения, необходимые для обеспечения работы сервиса, при этом ее область действия ограничена проектом. При необходимости роль можно отозвать, но это может нарушить работу уже созданных ресурсов и заблокировать создание новых.

Сервисному агенту можно назначить дополнительные роли или дать доступ к другому проекту — например, если для создания виртуальной машины требуется образ, который хранится в другом проекте.