App Engine inclut un compte de service géré par Google nommé Agent de service de l'environnement flexible App Engine. Cet agent de service permet à vos services d'agir en votre nom lorsqu'ils accèdent à d'autres ressources Google Cloud. Il est essentiel de conserver l'agent de service tel quel.
Notez que l'agent de service géré par Google n'est pas répertorié sur la page Comptes de service de la console Google Cloud, et n'est pas lié au Compte de service App Engine par défaut.
L'agent de service géré par Google pour votre projet Google Cloud est automatiquement créé lorsque vous déployez votre premier service. Par exemple, lorsque vous exécutez la commande gcloud app deploy pour la première fois afin de déployer une application dans l'environnement flexible.
L'agent de service géré par Google utilise le rôle IAM prédéfini suivant : Agent de service de l'environnement flexible App Engine, qui comprend un ensemble d'autorisations requis par App Engine pour gérer vos applications. Ce rôle est attribué automatiquement à l'agent de service lors de sa création.
Par exemple, les autorisations permettent à votre projet Google Cloud d'obtenir un jeton d'accès que vos instances App Engine utilisent pour accéder à d'autres ressources Google Cloud, telles qu'un bucket Cloud Storage.
Restrictions importantes :
- Ne révoquez pas les rôles attribués à l'agent de service géré par Google.
- N'attribuez pas le rôle d'agent de service de l'environnement flexible App Engine associé à un autre compte. Notez que les autorisations de ce rôle peuvent être modifiées sans préavis.
Vérifier l'agent de service
Pour vérifier que l'agent de service dispose du rôle requis dans votre projet Google Cloud, procédez comme suit :
Dans la console Google Cloud, accédez à la page Autorisations.
Dans l'angle supérieur droit de la page Autorisations, cochez la case Inclure les attributions de rôles fournies par Google.
Dans la liste Comptes principaux, localisez l'agent de service qui utilise l'ID :
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Vérifiez que l'agent de service a reçu le rôle Agent de service de l'environnement flexible App Engine.
Restaurer le rôle requis pour l'agent de service
Si vous supprimez accidentellement la liaison de rôle Agent de service de l'environnement flexible App Engine requise pour l'agent de service de votre projet Google Cloud, restaurez-la en procédant comme suit :
Dans la console Google Cloud, accédez à la page Autorisations.
Cliquez sur Ajouter.
Saisissez l'ID de l'agent de service au format suivant :
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Sélectionnez le rôle Agent de service de l'environnement flexible App Engine.
Cliquez sur Enregistrer.