Depois de criar um aplicativo do App Engine, a conta de serviço padrão do App Engine é criada e usada como a identidade do aplicativo do App Engine. A conta de serviço padrão do App Engine é associada ao projeto do Cloud e executa tarefas em nome dos aplicativos em execução no App Engine.
Quando o usuário não define outro papel, a conta de serviço padrão do App Engine tem o papel de editor no projeto. Isso significa que qualquer conta de usuário com permissões suficientes para implantar alterações no projeto do Cloud também pode executar códigos com acesso de leitura/gravação a todos os recursos desse projeto.
Conta de serviço para o ambiente flexível
No ambiente flexível do App Engine, também há uma conta de serviço gerenciada pelo Google, conhecida como agente de serviço, que executa tarefas específicas do ambiente flexível em nome dos seus apps. Para saber mais sobre esse agente de serviço, consulte Agente de serviço do ambiente flexível do App Engine.
Como visualizar a conta de serviço padrão do App Engine
Para ver as contas de serviço:
No Console do Google Cloud, acesse a página Contas de serviço.
Selecione o projeto.
Na lista, localize o endereço de e-mail da conta de serviço padrão do App Engine:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
Como modificar a conta de serviço padrão
Por padrão, a conta de serviço padrão do App Engine recebe o papel de Editor no projeto. Se você usar uma restrição de política da organização para impedir que o papel de Editor seja concedido automaticamente, será necessário conceder papéis à conta de serviço padrão do App Engine. Os papéis concedidos à conta de serviço padrão precisam habilitar o app a acessar os recursos necessários.
Para saber como conceder papéis a contas de serviço e outros principais, consulte Gerenciar o acesso a contas de serviço.
Como alterar as permissões da conta de serviço
É possível usar o console do Google Cloud para conceder ou remover papéis da conta de serviço padrão. Por exemplo, reduzir as permissões usadas pela conta de serviço padrão do App Engine alterando o papel de Editor para qualquer papel que atenda melhor às necessidades de acesso do aplicativo do App Engine.
Para modificar papéis da conta de serviço padrão do App Engine:
No console do Google Cloud, abra a página IAM.
Selecione o projeto.
Localize a conta de serviço padrão do App Engine na lista de principais. A conta de serviço padrão do App Engine aparecerá na lista se os papéis tiverem sido concedidos automática ou manualmente à conta de serviço.
Selecione o botão de edição para modificar os papéis atribuídos à conta de serviço.
Como usar a conta de serviço padrão
Seu aplicativo do App Engine usa as credenciais da conta de serviço do App Engine por padrão. Para mais informações, consulte Como conceder a seu aplicativo acesso aos serviços do Cloud.
Como restaurar uma conta de serviço padrão excluída
Se você excluir a conta de serviço padrão do App Engine, seu aplicativo do App Engine poderá ser interrompido e perder o acesso a outros serviços do Google Cloud, como o Datastore.
É possível restaurar contas de serviço padrão do App Engine que foram excluídas nos últimos 30 dias seguindo as etapas de Como cancelar a exclusão de uma conta de serviço.