GCPのサービスエージェントの権限がついたサービスアカウントが自動で作られなかったとき

Terraformを使っているからか関係ないのか、たまにあるのでメモがてら残しておく

今回はBigQueryからCloudSQLへのコネクションを作成した時に作られるはずのBigQuery Connectionサービスエージェント権限のサービスアカウントが作成されなかった。

対応としてはシンプルでコンソール画面で

IAMと管理 > IAM > プリンシパル別に表示 > アクセス権を付与

と進み、今回の場合はBigQuery Connectionのサービスアカウントだったので
service-PROJECT_NUMBER@gcp-sa-bigqueryconnection.iam.gserviceaccount.com
を入力し、ロールにBigQuery Connection サービスエージェントのロールを当てて保存

他のサービスエージェント・サービスアカウントだった場合ドメイン部分が違っているはず。公式ドキュメント等を参照にして本来どのサービスアカウントがあるべきなのかをチェックして、それを手動で作成すればよい
作成されているかどうかは同じIAMのプリンシパル別の表示で見えるが、Google提供のロール付与を含めるのチェックを入れないと出てこないので注意

手動で作った場合でもタイプはGoogleが管理するサービスアカウント扱いで作成され、自動で作成された場合と同じ扱いになる様子（名前やセキュリティ分析情報なども他のサービスアカウントと同じなので問題ない様子）

要するになかったら手動で作るという感じである