我完全懂你这种卡壳的挫败感——之前用服务账号自动创建Spreadsheet一直顺风顺水，手动把表格的所有者改成自己邮箱后突然就被限制了，换了新服务账号还是碰403，这事儿确实离谱。咱们来梳理下可能的原因和排查方向：

• 主账号的API创建权限被限制
  你猜Google可能封了主账号的创建权限，这个概率很高。虽然你还能手动创建表格并分享给服务账号编辑，但自动创建的API接口权限和手动操作是分开管控的。系统可能误判你手动转移服务账号创建的表格为“异常批量操作”，触发了API创建的临时限制，这种限制不会因为换服务账号就解除，因为是绑在你的主账号/组织账号上的。

• 新服务账号的关键API未启用
  别漏了最基础的检查：新创建的服务账号所属的云项目里，Google Sheets API和Google Drive API是不是都开了？有时候新建项目后默认不会启用这些API，缺了的话调用await sheetsApi.spreadsheets.create(request);必然会403。

• 授权范围配置不对
  核对下服务账号的授权Scope：创建Spreadsheet至少需要https://www.googleapis.com/auth/spreadsheets或者https://www.googleapis.com/auth/drive的读写权限。如果新服务账号的Scope被误设成只读或者更窄的范围，权限肯定不够。

• 组织/Workspace的政策限制
  要是你用的是企业版Google Workspace，大概率是管理员设置了服务账号的资源创建限制——比如禁止服务账号自动生成新Sheets，或者限制了资源所有者的转移操作。这种组织级别的政策会覆盖单个服务账号的权限，换账号也没用。

• 临时安全限制未解除
  Google的安全限制有些是临时的，但如果触发了较严格的预警，可能不会自动恢复。你可以去Google Cloud Console的安全中心或者IAM权限审核页面看看有没有相关的限制通知，要是有申诉入口可以提交申请解除限制。

给你几个快速排查的小步骤：

1. 直接在Cloud Console的API Explorer里用新服务账号的密钥调用spreadsheets.create接口，看是否同样报错，排除代码层面的问题；
2. 检查主账号的Drive资源创建配额——虽然配额一般很高，但短期内频繁创建也可能触发限制；
3. 用一个完全新的个人Google账号关联服务账号测试创建，确认是不是主账号本身被限制。

如果这些都没头绪，建议把403错误的完整日志（尤其是error.reason字段的具体内容）找出来，提交给Google Cloud支持，他们能查到具体是哪条限制规则触发了拦截。

内容来源于stack exchange