Googleがキーを生成する代わりにGoogleサービスアカウントの公開鍵を提供

Question

Googleサービスアカウントでは、サービスアカウントに関連付けられた公開鍵と秘密鍵のペアを生成し、API呼び出しを行うエンドユーザーに渡します。エンドユーザーがキーを安全に保つことができます。サービスアカウントと関連付けられたクライアントを生成することは可能ですか？Googleが要求を行っているサービスアカウントクライアントの検証に使用できる証明書を提供しますか？私が解決しようとしている問題は秘密鍵を交換しないことです。

また、サービスアカウントにアクセスできるユーザーの範囲を指定することは可能ですか？たとえば、Googleドメインの一部のユーザーに対して偽装アクセス権しか持たないサービスアカウントを作成する場合などです。ドメインワイド委任を持つサービスアカウントを作成すると、ドメインのすべてのユーザーに対してサービスアカウントに偽装のアクセス権が付与されます。

Answer 1

いいえ、サービスアカウントを関連付けて、クライアント要求を検証するための証明書を提供することはできません。前述したように、hereは、サービスアカウントの資格情報が一意であり、少なくとも1つの公開鍵または秘密鍵のペアです。サービスアカウントの資格情報を生成するには、Google Developers Consoleにアクセスしてください。 [サービスアカウントの作成]ウィンドウで、サービスアカウントの名前を入力し、Furnish a new private keyを選択します。プライベート/パブリックキーのペアが生成され、マシンにダウンロードされます。このキーの唯一のコピーとして機能します。あなたはそれを安全に保管する責任があります。 Developers Consoleのサービスアカウントの資格情報の詳細については、Developers ConsoleヘルプファイルのService accountをご覧ください。