Service AccountはどこのProjectに存在するのか？

[sinmetal]

WHAT

GCP上で自動的に作られるService Accountは、ものによって所属するProjectが異なる。 自分のProjectに存在するものは、secret.jsonが作成できるが、外のProjectにいるものは作れない。

自分のProjectにいるものの例

• App Engine Default Service Account
• Compute Engine Default Service Account

外のProjectにいるものの例

• Cloud Build Service Account

WHY

Cloud Build Service Accountのsecret.json作れるの？という質問をされたので、あー、なるほどねーって気持ちになったから

[sinmetal]

ちなみに作ろうとするとないよ！って言われる

gcloud iam service-accounts keys create ~/sinmetal-lab-cloudbuild-key.json \                                                                                                                                                                                         
  --iam-account [email protected] --project sinmetal-lab

ERROR: (gcloud.iam.service-accounts.keys.create) NOT_FOUND: Service account projects/-/serviceAccounts/[email protected] does not exist.