Neben dem App Engine-Standarddienstkonto enthält die flexible App Engine-Umgebung ein von Google verwaltetes Dienstkonto mit der Bezeichnung Dienstkonto für die flexible App Engine-Umgebung. Mit dem Dienstkonto der flexiblen App Engine-Umgebung kann Ihr Cloud-Projekt mit den Ressourcen Ihrer Anwendung getrennt von anderen Google Cloud-Diensten interagieren.
Google erstellt dieses Konto automatisch in folgenden Fällen:
Die Google App Engine Flexible Environment API wird in der Cloud Console manuell aktiviert:
Die erste Anwendung wird mithilfe von App Engine-Tools in der flexiblen App Engine-Umgebung bereitgestellt. Beispiel:
gcloud app deploy
Das Dienstkonto der flexiblen App Engine-Umgebung ist auf der Seite "Dienstkonten" der Cloud Console nicht aufgeführt und unterliegt den folgenden Einschränkungen:
- Die Berechtigungen des Dienstkontos für die flexible App Engine-Umgebung dürfen nicht geändert werden.
- Die Rolle Dienst-Agent für flexible App Engine-Umgebung sollte nicht mit einem Nutzerkonto verwendet werden. Sie kann ohne Ankündigung geändert werden und ist daher nicht verlässlich.
Dienstkonto für die flexible App Engine-Umgebung überprüfen
Sie müssen die Seite "Berechtigungen" in der Cloud Console aufrufen, um zu prüfen, ob das Dienstkonto für die flexible App Engine-Umgebung in Ihrem Cloudprojekt vorhanden ist:
Öffnen Sie die Cloud Console.
Suchen Sie in der Liste "Mitglieder" die ID des Dienstkontos für die flexible App Engine-Umgebung.
Das Dienstkonto für die flexible App Engine-Umgebung verwendet die folgende Mitglieds-ID:
service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com
Das Dienstkonto für die flexible App Engine-Umgebung sollte die Rolle Dienst-Agent für flexible App Engine-Umgebung haben.
Dienst-Agent-Rolle
Das Dienstkonto für die flexible App Engine-Umgebung ist mit der Rolle "Dienst-Agent für flexible App Engine-Umgebung" verknüpft. Diese Rolle umfasst eine Reihe von Berechtigungen, die von App Engine zum Verwalten Ihrer Anwendungen in der flexiblen Umgebung erforderlich sind, beispielsweise zum Durchführen der folgenden Aufgaben:
- Neue Version bereitstellen
- Vorhandene Versionen stoppen oder löschen
- Automatisch wöchentliche Neustarts und Systemupdates durchführen
Die Rolle "Dienst-Agent für flexible App Engine-Umgebung" sollte dem Dienstkonto für die flexible App Engine-Umgebung vorbehalten sein. Weisen Sie diese IAM-Rolle keinem Nutzerkonto zu, da sich die Berechtigungen ohne vorherige Ankündigung ändern können.
Fehlerbehebung
Wenn Sie das Dienstkonto für die flexible App Engine-Umgebung versehentlich löschen, können Sie es neu erstellen. Aktivieren Sie die Google App Engine Flexible Environment API noch einmal.