我有多个微服务运行在我们的项目的GCP（谷歌云平台）应用程序引擎。在我们的例子中，最好是在每个服务的基础上最小化权限。目前，我们将所有凭证文件保存在Keybase中，保留按团队成员划分的机密。因此，如果我在一个应用引擎服务上工作，我就看不到另一个团队的应用引擎服务的秘密。 我们一直在做的其他秘密，例如配置文件的密码和秘密托克斯，我们给予应用程序引擎服务帐户kms解密特权，并简单地提取加密副本的配置文件从firestore和解密。但我们不希望在任何地方都使用默认的appengine服务帐户，因为使用相同服务帐户的不同团队都可以访问每个人的秘密。因此，我们希望为开发中的每个应用程序引擎服务在每个服务的基础上转移到一个服务帐户。你知道吗

从我在Google文档中看到的情况来看，当我们部署应用程序时，他们希望您上传凭证文件，但是，从云控制台，似乎很难锁定谁可以查看部署到服务的文件，任何有访问权限的人都可以简单地复制/粘贴所有凭证。你知道吗

如果字典中有配置，可以执行以下操作：

from google.oauth2 import service_account
from google.cloud import kms_v1
d = {'type': 'service_account',
     'project_id': 'my-awesome-project',
     'private_key_id': '074139282fe9834ac23401',
     'private_key': '-----BEGIN PRIVATE KEY----\n supersecretkeythatnobodyknows==\n-----END PRIVATE KEY-----\n',
     'client_email': 'my-cool-address@my-awesome-project.iam.gserviceaccount.com',
     'client_id': '1234567890',
     'auth_uri': 'https://accounts.google.com/o/oauth2/auth',
     'token_uri': 'https://oauth2.googleapis.com/token',
     'auth_provider_x509_cert_url': 
     'https://www.googleapis.com/oauth2/v1/certs',
     'client_x509_cert_url': 'https://www.googleapis.com/robot/v1/metadata/x509/my-cool-addres%40my-awesome-project.iam.gserviceaccount.com'}

credentials = service_account.Credentials.from_service_account_info(d)
kms_client = kms_v1.KeyManagementServiceClient(credentials=credentials)

这是可行的，但是我们如何让字典“d”进入程序，而不让它出现在代码中，也不让很多人可以访问它呢？你知道吗