App Engine のデフォルトのサービス アカウントに加えて、App Engine フレキシブル環境には、Google で管理されているサービス アカウント App Engine フレキシブル環境サービス アカウントが含まれます。App Engine フレキシブル環境サービス アカウントを使用すると、Cloud プロジェクトは他の Google Cloud サービスとは切り離してアプリのリソースを操作できます。
このアカウントは、次のいずれかの場合に Google により自動的に作成されます。
Google App Engine フレキシブル環境 API が Cloud Console で手動で有効にされた。
App Engine ツール(
gcloud app deploy
など)を使用して、最初のアプリが App Engine フレキシブル環境にデプロイされた。
App Engine フレキシブル環境サービス アカウントは、Cloud Console のサービス アカウント ページには表示されず、次の制限があります。
- App Engine フレキシブル環境サービス アカウントの権限は変更しないでください。
- 関連する App Engine フレキシブル環境サービス エージェントの役割は、他のどのユーザー アカウントとも組み合わせて使用しないでください。この役割は予告なく変更される可能性があり、その影響の予測が困難であるためです。
App Engine フレキシブル環境サービス アカウントの確認
App Engine フレキシブル環境サービス アカウントが Cloud プロジェクトに存在することを確認するには、Cloud Console の [権限] ページを表示する必要があります。
Cloud Console を開きます。
[メンバー] リストで、App Engine フレキシブル環境サービス アカウントの ID を見つけます。
App Engine フレキシブル環境サービス アカウントは、メンバー ID を次のように使用します。
service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com
App Engine フレキシブル環境サービス アカウントには、App Engine フレキシブル環境サービス エージェントのロールが割り当てられている必要があります。
サービス エージェントの役割
App Engine フレキシブル環境サービス アカウントには、フレキシブル環境アプリケーションの管理で App Engine が必要とする一連の権限が含まれる、App Engine フレキシブル環境サービス エージェントの役割があります。この役割には次のタスクを実行するための権限があります。
- 新しいバージョンのデプロイ
- 既存のバージョンの停止または削除
- 毎週の自動再起動とシステム更新
App Engine フレキシブル環境サービス エージェントの役割は、App Engine フレキシブル環境サービス アカウント以外では使わないようにする必要があります。権限は予告なく変更されるため、この IAM 役割を使用したり、ユーザー アカウントに割り当てたりしないでください。
トラブルシューティング
App Engine フレキシブル環境サービス アカウントを誤って削除した場合は、Google App Engine フレキシブル環境 API を再度有効にし、サービス アカウントを再作成してください。