• メンバーにサービスアカウントトークン作成者(roles/iam.serviceAccountTokenCreator)のロールを紐づけ
• GOOGLE_IMPERSONATE_SERVICE_ACCOUNT環境変数に借用したい権限を持っているサービスカウントのメールを設定
  • export GOOGLE_IMPERSONATE_SERVICE_ACCOUNT=YOUR_SERVICE_ACCOUNT@YOUR_PROJECT.iam.gserviceaccount.comのように

参考

• https://cloud.google.com/blog/ja/topics/developers-practitioners/using-google-cloud-service-account-impersonation-your-terraform-code