Dopo aver creato un'applicazione App Engine, viene creato e utilizzato l'account di servizio predefinito App Engine, che viene utilizzato come identità dell'app App Engine. L'account di servizio predefinito App Engine è associato al tuo progetto Cloud ed esegue le attività per conto delle tue app in esecuzione in App Engine.
Per impostazione predefinita, l'account di servizio predefinito di App Engine ha il ruolo Editor nel progetto. Ciò significa che qualsiasi account utente con le autorizzazioni sufficienti per eseguire il deployment delle modifiche al progetto Cloud può anche eseguire codice con accesso in lettura/scrittura a tutte le risorse all'interno di quel progetto.
Account di servizio per l'ambiente flessibile
Nell'ambiente flessibile di App Engine, è disponibile anche un account di servizio gestito da Google, noto come agente di servizio, che esegue attività specifiche per l'ambiente flessibile per conto delle tue app. Per ulteriori informazioni su questo agente di servizio, consulta l'articolo Agente di servizio per l'ambiente flessibile di App Engine.
Visualizzazione dell'account di servizio predefinito di App Engine
Per visualizzare gli account di servizio:
In Google Cloud Console, vai alla pagina Account di servizio.
Seleziona il progetto.
Nell'elenco, individua l'indirizzo email dell'account di servizio predefinito di App Engine:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
Modificare l'account di servizio predefinito
Per impostazione predefinita, all'account di servizio predefinito di App Engine viene concesso il ruolo Editor nel progetto. Se utilizzi un vincolo dei criteri dell'organizzazione per impedire che il ruolo Editor venga concesso automaticamente, devi concedere i ruoli all'account di servizio predefinito di App Engine. I ruoli che concedi all'account di servizio predefinito devono consentire all'app di accedere alle risorse necessarie.
Per scoprire come concedere ruoli agli account di servizio e ad altre entità, consulta Gestire l'accesso agli account di servizio.
Modificare le autorizzazioni dell'account di servizio
Puoi utilizzare la console Google Cloud per concedere o rimuovere i ruoli dall'account di servizio predefinito. Ad esempio, puoi eseguire il downgrade delle autorizzazioni utilizzate dall'account di servizio predefinito di App Engine modificandone il ruolo da Editor a uno o più ruoli che meglio rappresentano le esigenze di accesso della tua applicazione App Engine.
Per modificare i ruoli per l'account di servizio predefinito di App Engine:
Nella console Google Cloud, vai alla pagina IAM.
Seleziona il progetto.
Individua l'account di servizio predefinito di App Engine nell'elenco Entità. L'account di servizio predefinito di App Engine viene visualizzato nell'elenco se i ruoli sono stati concessi automaticamente o manualmente all'account di servizio.
Seleziona il pulsante di modifica per modificare i ruoli assegnati all'account di servizio.
Utilizzo dell'account di servizio predefinito
L'applicazione App Engine utilizza le credenziali dell'account di servizio App Engine per impostazione predefinita. Per ulteriori informazioni, consulta l'articolo Concedere all'app l'accesso ai servizi Cloud.
Ripristino di un account di servizio predefinito eliminato
Se elimini il tuo account di servizio predefinito App Engine, l'applicazione App Engine potrebbe interrompere e perdere l'accesso ad altri servizi Google Cloud, come Datastore.
Puoi ripristinare gli account di servizio predefiniti di App Engine che sono stati eliminati negli ultimi 30 giorni seguendo i passaggi per annullare l'eliminazione di un account di servizio.