我已經按照本教程進行操作：https ://cloud.google.com/kms/docs/store-secrets我的下一步是讓我的應用程序從存儲桶中讀取我的機密文件并在運行時安全地解密。這些應用程序在各種項目（暫存、開發、生產等）中運行。我一遍又一遍地閱讀服務帳戶文檔，但不太了解正確的前進方向。我發現有用的是簡單地將服務帳戶添加到教程中的 MY_KMS_PROJECT 和 MY_STORAGE_PROJECT。我將它們設置為有權讀取存儲桶和解密 KMS 密鑰。只需創建這些服務帳戶，突然之間其他項目中的應用程序就可以讀取和解密。它應該如何工作？我以為我必須為每個我想從教程中訪問 KMS 項目的項目創建一個服務帳戶？或者以某種方式使用 IAM 來授予訪問權限？例如，我將如何授予對某些項目中的某些應用程序的訪問權限，而不是其他項目？我現在正嘗試在我的本地開發環境中運行時授予對應用程序的訪問權限，這通常需要下載服務帳戶并將 GOOGLE_APPLICATION_CREDENTIALS 指向該文件。但是從 MY_KMS_PROJECT 或 MY_STORAGE_PROJECT 下載服務帳戶對我來說似乎很奇怪，特別是因為我已經有一個用于訪問 firebase 的服務帳戶。服務帳戶是否以某種方式對所有項目都是全局的？它們可以結合嗎？GOOGLE_APPLICATION_CREDENTIALS 似乎只適用于指向單個服務帳戶。注意：我的大部分應用程序都在 google app engine standard 或 flexible 上運行。這是我的項目中應用程序的代碼，如上所述“正常工作”：client, err := google.DefaultClient(ctx, cloudkms.CloudPlatformScope)if err != nil {    log.Fatal(err)}// Create the KMS client.kmsService, err := cloudkms.New(client)if err != nil {    log.Fatal(err)}....訪問存儲桶：// Create the storage clientstorageClient, err := storage.NewClient(ctx)if err != nil {    log.Fatal(err)}....