Как настроить правильные разрешения в BigQuery?
Чтобы использовать эту функциональность, сначала создайте сервисный аккаунт, который вы хотите имитировать. Затем предоставьте пользователям, которым вы хотите разрешить имитировать этот сервисный аккаунт, роль roles/iam.serviceAccountTokenCreator для ресурса сервисного аккаунта. Также необходимо предоставить сервисному аккаунту ту же роль для самого себя. Это позволяет ему создавать краткосрочные токены, идентифицирующие его самого, и позволяет вашим пользователям (или другим сервисным аккаунтам) делать то же самое. Более подробная информация об этом сценарии доступна здесь.
После того как вы предоставили соответствующие разрешения, вам нужно включить API учетных данных сервисного аккаунта IAM. Включение API и предоставление роли — это операции с конечной согласованностью, которые могут занять до 7 минут для полного завершения, но обычно полность�ю распространяются в течение 60 секунд. Подождите несколько минут, затем добавьте опцию impersonate_service_account в конфигурацию вашего профиля BigQuery.