App Engine のデフォルトのサービス アカウントに加え、App Engine フレキシブル環境には、App Engine フレキシブル環境のサービス エージェントという名前の Google マネージド サービス アカウントが含まれます。サービス エージェントを使用すると、Cloud プロジェクトは、他の Google Cloud サービスとは別にアプリのリソースとやりとりできます。
App Engine ツール(gcloud app deploy コマンドなど)を使用して、プロジェクトの最初のアプリを App Engine フレキシブル環境にデプロイすると、このアカウントが自動的に作成されます。
サービス エージェントは、Cloud Console の [サービス アカウント] ページには表示されません。また、次の制限があります。
- サービス エージェントに付与されているロールを取り消さないでください。
- 関連する App Engine フレキシブル環境のサービス エージェントのロールは、他のアカウントに付与しないでください。このロールに含まれる権限は予告なく変更される可能性があるためです。
App Engine フレキシブル環境のサービス エージェントの確認
Cloud プロジェクトにサービス エージェントが存在することを確認するには、次の手順を行います。
Cloud Console を開きます。
[権限] ページの右上にある [Google 提供のロール付与を含みます] チェックボックスをオンにします。
[プリンシパル] リストで、次の ID を使用する App Engine フレキシブル環境のサービス エージェントの ID を見つけます。
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.comサービス エージェントに App Engine フレキシブル環境のサービス エージェント ロールが付与されていることを確認します。
サービス エージェントの役割
サービス エージェントには、App Engine フレキシブル環境のサービス エージェント ロールが付与されています。このロールには、フレキシブル環境アプリを管理するために .NET フレキシブル環境で必要となる一連の権限が含まれています。たとえば、このロールには次のタスクを実行するための権限があります。
- 新しいバージョンのデプロイ
- 既存のバージョンの停止または削除
- 毎週の自動再起動とシステム更新
App Engine フレキシブル環境のサービス エージェント ロールは、サービス エージェント用に予約されています。この IAM ロールを他のアカウントに付与しないでください。このロールに含まれる権限は予告なく変更される可能性があるためです。
削除されたサービス エージェントの復元
App Engine フレキシブル環境のサービス エージェントを誤って削除した場合は、次の手順で復元します。
Cloud Console を開きます。
[追加] をクリックします。
次の形式でサービス エージェント ID を入力します。
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com[App Engine フレキシブル環境のサービス エージェント] ロールを選択します。
[保存] をクリックします。