Google 云：如何列出 GCP 中所有项目的所有服务帐户

正如评论者所指出的，这并不是一件小事。

但是，我总是准备好一些

gcloud

您的代码示例表明您想要 PowerShell 中的答案，而我没有，希望您不介意 bash 中的指针（以下内容不完整）：

是：

• 项目编号
• 账户名称
• 启用|禁用
• 电子邮件
• 按键
• 创建（时间戳）

不：

• 角色分配
• 上次使用（审核日志？）

PROJECTS=$(gcloud projects list --format="value(projectId)")

for PROJECT in ${PROJECTS}
do
  echo "Project: ${PROJECT}"
  # Extracts ACCOUNT_ID, EMAIL (==ACCOUNT_ID@...), DISABLED
  ROBOTS=$(\
    gcloud iam service-accounts list \
    --project=${PROJECT} \
    --format="csv[no-heading](displayName.encode(\"base64\"),email,email.split(\"@\").slice(0),disabled)")
  for ROBOT in ${ROBOTS}
  do
    # Parse results
    IFS=, read ENCODED_NAME EMAIL ACCOUNT_ID DISABLED <<< ${ROBOT}
    NAME=$(echo -e ${ENCODED_NAME} | base64 --decode)
    echo "  Service Account: ${NAME}"
    echo "    Disabled: ${DISABLED}"
    echo "    Email: ${EMAIL}"
    # Keys
    KEYS=$(\
        gcloud iam service-accounts keys list \
        --iam-account=${EMAIL} \
        --project=${PROJECT} \
        --format="value(name.scope(keys))")
    for KEY in ${KEYS}
    do
      echo "    Key: ${KEY}"
    done
    # Creation (Only searches back 30-days!)
    FILTER=""\
"logName=\"projects/${PROJECT}/logs/cloudaudit.googleapis.com%2Factivity\" "\
"resource.type=\"service_account\" "\
"protoPayload.methodName=\"google.iam.admin.v1.CreateServiceAccount\" "\
"protoPayload.request.account_id=\"${ACCOUNT_ID}\" "

    LOG=$(\
        gcloud logging read "${FILTER}" \
        --project=${PROJECT} \
        --format=json \
        --freshness=30d \
        --format="value(timestamp)")
    echo "    Created: ${LOG}"
  done
done

注释

• 服务帐户创建时间 - IIUC - 只能通过审核日志获取 (

  CreateServiceAccount[Key]

  )。这样做的一个挑战是必须回溯项目的（整个）历史才能找到这些。
• 仅创建用户创建的服务帐户（在项目的生命周期内）。 Google 维护的帐户，例如将找不到 App Engine。
• 脚本在日志中搜索每个帐户。这样效率很低，最好对所有帐户搜索一次日志，然后合并结果。
• 由于继承，角色分配很困难。简单的解决方案会获取每个项目的 IAM 策略，但这还不够，因为它不涵盖组织|文件夹权限，也不包含特定于资源的绑定。
• 我实际上不知道如何 grep 上次身份验证时间的日志，并假设这可以通过审核日志获得
• 对帐户

  base64

  的粗糙

  displayName

  编码表示歉意。这是为了避免过度急切地解析包含空格的（大多数）名称。可能有更好的方法。

采用 @DazWilin 的优秀脚本，通过一些 mods，它会生成所有服务帐户的服务帐户注册或 CSV 文件，包括它们的描述和密钥。删除日志刮擦可以加快速度。

#! /bin/bash
# Requires permission to list projects, list service accounts, view keys
if [ $# -lt 1 ]
then
  echo "usage:  $0 csv_output_file"
  exit
fi

gcloud projects list --format="value(projectId)" --sort-by=projectId
OUTFILE=$1
FILTER='prefix'
PROJECTS=$(gcloud projects list --format="value(projectId)" --filter="${FILTER}")

echo "Project,ServiceAccountName,Account Name,Email,Description,key_id,key_created_at,key_expires_at" > $OUTFILE

for PROJECT in ${PROJECTS}
do
  echo "Project: ${PROJECT}"
  # Extracts ACCOUNT_ID, EMAIL (==ACCOUNT_ID@...), DISABLED, DESCRIPTION
  ROBOTS=$(\
    gcloud iam service-accounts list \
    --project=${PROJECT} \
     --format="csv[no-heading](displayName.encode(\"base64\"),email,email.split(\"@\").slice(0),disabled,description.encode(\"base64\"))")

  #echo $ROBOTS
  for ROBOT in ${ROBOTS}
  do
    # Parse results
    IFS=, read ENCODED_NAME EMAIL ACCOUNT_ID DISABLED ENCODED_DESCR<<< ${ROBOT}
    NAME=$(echo -e ${ENCODED_NAME} | base64 --decode)
    DESCR=$(echo -e ${ENCODED_DESCR} | base64 --decode)
    echo "  Service Account: ${NAME}"
    echo "    Disabled: ${DISABLED}"
    echo "    Email: ${EMAIL}"
    echo "    Descr: ${DESCR}"
    RESPONSE=$(\
        gcloud iam service-accounts keys list \
        --iam-account=${EMAIL} \
        --project=${PROJECT} \
        --format="csv[no-heading](name.scope(keys),validAfterTime,validBeforeTime)" \
        )
    IFS=$'\n' rows=($RESPONSE)
    for row in "${rows[@]}"
    do
        echo "$PROJECT,$NAME, $ACCOUNT_ID,$EMAIL,$DESCR,$row" >> $OUTFILE
        # IFS=$',' args=($row)
        # keyname=args[0]
        # created=args[1]
        # expires=args[2]
    done
  done
done