App Engine フレキシブル環境のサービス エージェント

App Engine のデフォルトのサービス アカウントに加え、App Engine フレキシブル環境には、App Engine フレキシブル環境のサービス エージェントという名前の Google マネージド サービス アカウントが含まれます。サービス エージェントを使用すると、Cloud プロジェクトは、他の Google Cloud サービスとは別にアプリのリソースとやりとりできます。

App Engine ツール(gcloud app deploy コマンドなど)を使用して、プロジェクトの最初のアプリを App Engine フレキシブル環境にデプロイすると、このアカウントが自動的に作成されます。

サービス エージェントは、Cloud Console の [サービス アカウント] ページには表示されません。また、次の制限があります。

App Engine フレキシブル環境のサービス エージェントの確認

Cloud プロジェクトにサービス エージェントが存在することを確認するには、次の手順を行います。

  1. Cloud Console を開きます。

    [権限] ページに移動

  2. [権限] ページの右上にある [Google 提供のロール付与を含みます] チェックボックスをオンにします。

  3. [プリンシパル] リストで、次の ID を使用する App Engine フレキシブル環境のサービス エージェントの ID を見つけます。
    service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com

  4. サービス エージェントに App Engine フレキシブル環境のサービス エージェント ロールが付与されていることを確認します。

サービス エージェントの役割

サービス エージェントには、App Engine フレキシブル環境のサービス エージェント ロールが付与されています。このロールには、フレキシブル環境アプリを管理するために .NET フレキシブル環境で必要となる一連の権限が含まれています。たとえば、このロールには次のタスクを実行するための権限があります。

  • 新しいバージョンのデプロイ
  • 既存のバージョンの停止または削除
  • 毎週の自動再起動とシステム更新

App Engine フレキシブル環境のサービス エージェント ロールは、サービス エージェント用に予約されています。この IAM ロールを他のアカウントに付与しないでください。このロールに含まれる権限は予告なく変更される可能性があるためです。

削除されたサービス エージェントの復元

App Engine フレキシブル環境のサービス エージェントを誤って削除した場合は、次の手順で復元します。

  1. Cloud Console を開きます。

    [権限] ページに移動

  2. [追加] をクリックします。

  3. 次の形式でサービス エージェント ID を入力します。
    service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com

  4. [App Engine フレキシブル環境のサービス エージェント] ロールを選択します。

  5. [保存] をクリックします。