Compte de service d'environnement flexible App Engine

En plus du compte de service App Engine par défaut, l'environnement flexible App Engine inclut un compte de service géré par Google, appelé compte de service de l'environnement flexible App Engine. Le compte de service de l'environnement flexible App Engine permet à votre projet Cloud d'interagir avec les ressources de votre application séparément des autres services Google Cloud.

Google crée automatiquement ce compte lorsque l'une des conditions suivantes est remplie :

  • L'API Google App Engine Flexible Environment est activée manuellement dans Cloud Console :

    Accéder à la page "Bibliothèque d'API"

  • La première application est déployée dans l'environnement flexible App Engine à l'aide des outils App Engine. Exemple : gcloud app deploy

Le compte de service de l'environnement flexible App Engine n'est pas répertorié sur la page "Comptes de service" de Cloud Console et présente les restrictions suivantes :

Vérifier le compte de service de l'environnement flexible App Engine

Pour vérifier que le compte de service de l'environnement flexible App Engine existe dans votre projet Cloud, vous devez afficher la page "Autorisations" dans Cloud Console :

  1. Ouvrez Cloud Console :

    Accéder à la page "Autorisations"

  2. Dans la liste des membres, recherchez l'ID du compte de service de l'environnement flexible App Engine.

    Le compte de service de l'environnement flexible App Engine utilise l'ID de membre suivant :
    service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com

  3. Le compte de service de l'environnement flexible App Engine doit avoir le rôle d'agent de service de l'environnement flexible App Engine.

Rôle d'agent de service

Le compte de service de l'environnement flexible App Engine a le rôle d'agent de service de l'environnement flexible App Engine. Ce rôle inclut un ensemble d'autorisations requises par App Engine pour gérer vos applications d'environnement flexible. Par exemple, ce rôle inclut des autorisations permettant d'effectuer les tâches suivantes :

  • Déployer une nouvelle version
  • Arrêter ou supprimer des versions existantes
  • Mettre à jour et redémarrer le système chaque semaine

Le rôle d'agent de service de l'environnement flexible App Engine doit être réservé au compte de service de l'environnement flexible App Engine. Vous ne devez pas utiliser ou attribuer ce rôle IAM à un autre compte utilisateur, car les autorisations changent sans préavis.

Dépannage

Si vous supprimez accidentellement le compte de service de l'environnement flexible App Engine, vous pouvez le recréer en réactivant l'API d'environnement flexible de Google App Engine.