Agente de servicio administrado por Google

App Engine incluye una cuenta de servicio administrada por Google llamada agente de servicio del entorno flexible de App Engine. Este agente de servicio permite que tus servicios actúen en tu nombre cuando acceden a otros recursos de Google Cloud. Es esencial mantener el agente de servicio sin modificar.

Ten en cuenta que el agente de servicio administrado por Google no aparece en la página Cuentas de servicio en la consola de Google Cloud y no está relacionada con la cuenta de servicio predeterminada de App Engine.

El agente de servicio administrado por Google para el proyecto de Google Cloud se crea de forma automática cuando implementas el primer servicio. Por ejemplo, cuando ejecutas el comando gcloud app deploy por primera vez para implementar una app en el entorno flexible.

El agente de servicio administrado por Google usa el rol predefinido de IAM Agente de servicio del entorno flexible de App Engine, que incluye un conjunto de permisos necesarios para que App Engine administre tus apps. Este rol se otorga al agente de servicio de forma automática cuando se crea el agente de servicio.

Por ejemplo, los permisos permiten que tu proyecto de Google Cloud obtenga un token de acceso que usan tus instancias de App Engine para acceder a otros recursos de Google Cloud, como un bucket de Cloud Storage.

Restricciones importantes:

• No revoques los roles que se otorgan al agente de servicio administrado por Google.
• No otorgues el rol de Agente de servicio del entorno flexible de App Engine relacionada a ninguna otra cuenta. Ten en cuenta que los permisos de este rol pueden cambiar sin previo aviso.

Verifica el agente de servicio

Para verificar que el agente de servicio tenga su rol requerido en tu proyecto de Google Cloud, sigue estos pasos:

1. En la consola de Google Cloud, ve a la página Permisos.

   Ir a Permisos

2. En la esquina superior derecha de la página Permisos, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.

3. En la lista Principales, busca el agente de servicio con el siguiente ID:
   service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.

4. Verifica que el agente de servicio tenga el rol de agente de servicio del entorno flexible de App Engine.

Restablece el rol necesario para el agente de servicio

Si quitas accidentalmente la vinculación del rol de agente de servicio del entorno flexible de App Engine para el agente de servicio de tu proyecto de Google Cloud, restablécela mediante los siguientes pasos:

1. En la consola de Google Cloud, ve a la página Permisos.

   Ir a Permisos

2. Haga clic en Agregar.

3. Ingresa el ID del agente de servicio en el siguiente formato:
   service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.

4. Selecciona el rol Agente de servicio del entorno flexible de App Engine.

5. Haz clic en Guardar.