GCE VM 인스턴스가 사용하는 IAM 권한 및 역할은 해당 인스턴스와 연결된 Service Account를 통해서만 추가 혹은 삭제 가능합니다.

Service Account에 추가적으로 Access Scope을 설정하여 특정 Google Cloud 리소스 API에 접근할 수 없도록 제한 할 수 있습니다.

기본 값으로 GCE 인스턴스를 생성할 경우 Compute Engine Default Service Account가 적용되어 있습니다. 

해당 Service Account는 프로젝트 Editor 권한을 가지고 있어 상대적으로 큰 권한을 가지고 있습니다.

보안을 위해 GCE 인스턴스가 제한된 권한을 적용하는 경우에는 새로운 Service Account에 필요한 권한만을 추가하여 사용하거나 Default SA 권한을 변경하여 사용합니다.