Зачем может понадобиться имперсонировать сервисный аккаунт?
Вам может понадобиться, чтобы ваши модели собирались с использованием выделенного сервисного аккаунта, который обладает расширенными правами для чтения или записи данных в указанный проект или датасет. Обычно для этого требуется создать ключ сервисного аккаунта, который будет использоваться при разработке или на CI‑сервере. Однако, указав email‑адрес сервисного аккаунта, от имени которого вы хотите собирать модели, вы можете использовать Application Default Credentials или сервисный аккаунт, настроенный для самого сервиса (при запуске в GCP), чтобы временно принять идентичность сервисного аккаунта с повышенными правами.
Это позволяет получить преимущества использования федеративной идентификации для разработчиков (через ADC), не предоставляя индивидуальный доступ на чтение и запись данных напрямую и не создавая отдельные сервисные аккаунты и ключи для каждого пользователя. Кроме того, это позволяет полностью отказаться от использования ключей сервисных аккаунтов в CI при условии, что ваш CI запущен в GCP (Cloud Build, Jenkins, GitLab/Github Runners и т.д.).