Oltre all'account di servizio predefinito di App Engine, l'ambiente flessibile di App Engine include un account di servizio gestito da Google denominato agente di servizio dell'ambiente flessibile di App Engine. L'agente di servizio consente al tuo progetto Cloud di interagire con le risorse della tua applicazione separatamente dagli altri servizi Google Cloud.
Google crea automaticamente questo account quando esegui il deployment della prima app di un progetto nell'ambiente flessibile di App Engine mediante gli strumenti di App Engine, ad esempio il comando gcloud app deploy.
L'agente di servizio non è elencato nella pagina Account di servizio di Cloud Console e presenta le seguenti limitazioni:
- Non revocare i ruoli concessi all'agente di servizio.
- Non concedere il ruolo dell'agente di servizio nell'ambiente flessibile di App Engine correlato a nessun altro account perché le autorizzazioni incluse nel ruolo possono cambiare senza preavviso.
Verifica dell'agente di servizio dell'ambiente flessibile di App Engine
Per verificare che l'agente di servizio esista nel tuo progetto Cloud, segui questi passaggi:
Apri Cloud Console:
Nell'angolo in alto a destra della pagina Autorizzazioni, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nell'elenco Entità, individua l'ID dell'agente di servizio dell'ambiente flessibile di App Engine, che utilizza l'ID
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Verifica che all'agente di servizio sia stato concesso il ruolo Agente di servizio dell'ambiente flessibile di App Engine.
Ruolo agente di servizio
L'agente di servizio ha il ruolo Agente di servizio dell'ambiente flessibile di App Engine. Il ruolo include un insieme di autorizzazioni necessarie per l'ambiente flessibile .NET per gestire le app dell'ambiente flessibile. Ad esempio, questo ruolo include le autorizzazioni per eseguire le seguenti attività:
- Deployment di una nuova versione.
- Arresto o eliminazione di versioni esistenti.
- Riavvii automatici settimanali e aggiornamenti di sistema.
Il ruolo agente di servizio dell'ambiente flessibile di App Engine è riservato all'agente di servizio. Non concedere questo ruolo IAM a nessun altro account, perché le autorizzazioni incluse nel ruolo possono cambiare senza preavviso.
Ripristino di un agente di servizio eliminato
Se elimini accidentalmente l'agente di servizio dell'ambiente flessibile di App Engine, ripristinalo eseguendo i passaggi seguenti:
Apri Cloud Console:
Fai clic su Aggiungi.
Inserisci l'ID agente di servizio utilizzando il formato
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Seleziona il ruolo Agente di servizio dell'ambiente flessibile di App Engine.
Fai clic su Salva.