使用用户凭据在云运行中验证gcloud SDK

我目前正在进行一个项目，该项目将自动设置一个新的Firebase/GCloud项目。它在很大程度上依赖于Firebase CLI和gcloud SDK，这些SDK具有几个强制步骤的用户凭据。

我现在正在尝试将这个项目移动到云运行的Docker容器中。我已经能够使用Firebase CLI的内置基于令牌的CI命令，使用用户凭据对其进行身份验证。

我想问一下是否可以使用类似的方法对gcloud SDK进行身份验证。

为什么服务帐户可能不起作用

我意识到像这样的服务到服务程序应该用服务帐户进行身份验证。然而，在我的例子中，程序的流程是这样的：

null

我无法使用服务帐户来验证步骤2中的请求，因为项目刚刚创建，因此我还没有机会授予任何服务帐户编辑它或下载密钥文件的权限。这就是为什么我希望使用表示用户凭据的令牌进行身份验证。

默认情况下，云运行环境实际上可以访问承载容器的项目的服务帐户。由于此服务帐户没有编辑新创建的项目的权限，因此使用它进行身份验证是毫无意义的。

到目前为止的想法

1. gCloud auth登录--no-launch-browser-需要用户交互，并且提供的密钥似乎每个登录会话都是唯一的
2. 因为Firebase CLI是用用户凭据进行身份验证的，所以可能有一种方法可以使用它来身份验证gcloud SDK？
3. 是否可以让服务帐户继承用户的所有权限？我已经看到了几个这样的例子，但它们只在每个项目级别上工作。我意识到这个解决方案是多么不体面。
4. gcloud SDK似乎将用户凭据保存在/root/.config/gcloud文件夹中。我违背了所有合理的逻辑，在设置Docker-Container时复制了这个文件夹。当我在本地Docker容器上运行它时，这实际上是有效的，但当我在云运行上运行它时，默认服务帐户似乎覆盖了所有其他凭据。本地Docker容器可以访问复制的配置，但是即使文件复制成功，gcloud SDK似乎也无法识别它们。

编辑：我的意图是让不太懂技术的大学通过点击按钮创建一个新的Firebase项目，该项目具有大量预定义的设置。这包括以下步骤：

1. 设置新的Firebase项目（自动设置新的Google Cloud项目）
2. 启用计费
3. 设置用户IAM角色并升级/下载服务帐户
4. 添加Google Analytics
5. 添加云存储
6. 创建新的云存储桶
7. 添加Firestore本机模式
8. 复制预定义的云函数和安全角色，并将它们部署到云中

以上所有步骤都在我的本地系统上工作，当我使用idea#4时，它们也在云运行之外的通用docker容器上工作。我正在处理的问题是验证第2步和第3步的请求。由于这两个请求都处理新创建的项目，所以Cloud Run的默认服务标识目前不能具有验证这些请求所需的角色。这就是为什么我在寻找一种方法来通过Firebase CLI在步骤#1中使用的相同的用户凭据进行身份验证，因为这些凭据在默认情况下具有所有者特权。