我已經(jīng)按照本教程進(jìn)行操作：https ://cloud.google.com/kms/docs/store-secrets我的下一步是讓我的應(yīng)用程序從存儲桶中讀取我的機(jī)密文件并在運(yùn)行時(shí)安全地解密。這些應(yīng)用程序在各種項(xiàng)目（暫存、開發(fā)、生產(chǎn)等）中運(yùn)行。我一遍又一遍地閱讀服務(wù)帳戶文檔，但不太了解正確的前進(jìn)方向。我發(fā)現(xiàn)有用的是簡單地將服務(wù)帳戶添加到教程中的 MY_KMS_PROJECT 和 MY_STORAGE_PROJECT。我將它們設(shè)置為有權(quán)讀取存儲桶和解密 KMS 密鑰。只需創(chuàng)建這些服務(wù)帳戶，突然之間其他項(xiàng)目中的應(yīng)用程序就可以讀取和解密。它應(yīng)該如何工作？我以為我必須為每個(gè)我想從教程中訪問 KMS 項(xiàng)目的項(xiàng)目創(chuàng)建一個(gè)服務(wù)帳戶？或者以某種方式使用 IAM 來授予訪問權(quán)限？例如，我將如何授予對某些項(xiàng)目中的某些應(yīng)用程序的訪問權(quán)限，而不是其他項(xiàng)目？我現(xiàn)在正嘗試在我的本地開發(fā)環(huán)境中運(yùn)行時(shí)授予對應(yīng)用程序的訪問權(quán)限，這通常需要下載服務(wù)帳戶并將 GOOGLE_APPLICATION_CREDENTIALS 指向該文件。但是從 MY_KMS_PROJECT 或 MY_STORAGE_PROJECT 下載服務(wù)帳戶對我來說似乎很奇怪，特別是因?yàn)槲乙呀?jīng)有一個(gè)用于訪問 firebase 的服務(wù)帳戶。服務(wù)帳戶是否以某種方式對所有項(xiàng)目都是全局的？它們可以結(jié)合嗎？GOOGLE_APPLICATION_CREDENTIALS 似乎只適用于指向單個(gè)服務(wù)帳戶。注意：我的大部分應(yīng)用程序都在 google app engine standard 或 flexible 上運(yùn)行。這是我的項(xiàng)目中應(yīng)用程序的代碼，如上所述“正常工作”：client, err := google.DefaultClient(ctx, cloudkms.CloudPlatformScope)if err != nil {    log.Fatal(err)}// Create the KMS client.kmsService, err := cloudkms.New(client)if err != nil {    log.Fatal(err)}....訪問存儲桶：// Create the storage clientstorageClient, err := storage.NewClient(ctx)if err != nil {    log.Fatal(err)}....