短期 token 即使泄漏影响也小
只能给已有 service account 颁发,不能创建身份
POST /v1/projects/-/serviceAccounts/{sa-email}:generateAccessToken 拿 access token;generateIdToken 拿 OIDC ID token。
可用率 · 30 天窗口
关于这个 API
IAM Credentials API 是 GCP 推动「零长期 key」实践的关键基础。传统做法是给 service account 创建 JSON key 文件,应用读这个文件做身份验证——但 key 文件一旦泄露就是大事故。IAM Credentials 让你用一个有 token-creator 权限的 principal(用户、另一个 SA)去为目标 SA 申请短期 token,避免长期 key 存在。配合 Workload Identity Federation 可以做到「应用从不持有任何 GCP credentials」——GKE pod、GitHub Actions runner、AWS Lambda 等环境用自己平台的身份去换 GCP 短期 token。这是 GCP 安全最佳实践的核心。
你可以做什么
- 1CI/CD 中拿短期 access token 而不用永久 key
- 2为 Workload Identity Federation 提供 token 交换
- 3应用程序间用 service account impersonation
- 4签发自定义 JWT 给下游服务
优劣对比
优点
- 短期 token 即使泄漏影响也小
- 支持 service account impersonation 做权限委托
- 配合 Workload Identity 实现零长期密钥
注意事项
- 只能给已有 service account 颁发,不能创建身份
- token 默认 1 小时,最长 12 小时
示例请求
curl https://google.com/<endpoint>快速开始
POST /v1/projects/-/serviceAccounts/{sa-email}:generateAccessToken 拿 access token;generateIdToken 拿 OIDC ID token。
常见问题
token 过期了怎么办?+
SDK 通常自动 refresh。手动管理时,token 距离过期 5 分钟以内就该 re-issue。
怎么撤销已颁发的 token?+
不能直接撤销单个 token。要立即生效,必须撤销该 SA 的 IAM 权限——所有 token 失效。
技术细节
- 认证方式
- unknown
- 计费
- unknown
- 协议
- REST
- SDK
- python, javascript, go, java
- 响应时间
- 41 ms
- 上次巡检
- 2026/5/12 07:37:31
更多来自 Google 的 API
Google Workspace Admin SDK API 程序化管理 Workspace 组织:用户、组、设备、域名、审计日志、组织单元。
AdMob API 可读取 accounts、apps、adUnits 与 adSources,并生成 mediation 与 network 报表。
AdSense Host API 支持 accounts、adclients、adunits、reports 和 adcode 生成,适合托管式广告平台集成。
Apigee API 可管理 API proxy、deployments、attributes 与 organizations,适合把 API 网关运维接入自动化流程。
Google BigQuery API 是 GCP 旗舰数据仓库的 REST 接口:执行 SQL 查询、管理 datasets/tables、流式插入、ML 内置。
Binary Authorization API 用于管理 attestors、IAM policy 与镜像验证流程,面向 GKE 和 Anthos 的发布门禁。
Business Profile Performance API 能拉取 location 指标时间序列和 search keyword impressions,服务 Google 商家资料分析。
Google Calendar API 让应用程序化创建、读取、更新日历事件,是日程类应用最常用的集成。