GCPではそれぞれのサービス毎にCloud APIを有効にすることでサービスが利用できるようになる。Cloudコンソールからのサービス利用であっても、Cloud APIが有効になっている必要がある。Cloudコンソールで操作しているように見えて、実際には裏側でAPIを叩いているということだ。

Cloud APIの有効化はプロジェクト毎にサービス単位で行う。あるプロジェクトで特定のサービスのCloud APIが有効化されていれば、GCP側でAPIリクエストをリッスンしてくれる。これはすべてのアカウント（サービスアカウントも含む）のAPIリクエストが認可されるということではない。APIリクエストをGCPに認可してもらうには、当然アカウント毎に権限が必要になる。

当初、Cloud APIの有効化はアカウント毎だと誤って認識していた。まずプロジェクトでAPIを有効化して、有効化したAPIのうちどのAPIを利用するかアカウントに紐づけると思っていたのだ。

実際には、プロジェクト単位でCloud APIの有効化を行い、アカウントの権限管理はIAMで行う。それがようやく腑に落ちた。