Conta de serviço do ambiente flexível do App Engine

Além da conta de serviço padrão, o ambiente flexível do App Engine inclui uma conta de serviço gerenciada pelo Google chamada conta de serviço do ambiente flexível do App Engine. Essa conta de serviço permite que o projeto do GCP interaja com os recursos do seu aplicativo de maneira independente de outros serviços do GCP.

O Google cria automaticamente essa conta quando ocorre uma das situações abaixo:

  • A API Google App Engine Flexible Environment é ativada manualmente no Console do GCP:

    Acessar a página "Biblioteca de APIs"

  • O primeiro aplicativo é implantado no ambiente flexível com as ferramentas do App Engine. Por exemplo: gcloud app deploy.

A conta de serviço do ambiente flexível do App Engine não está listada na página "Contas de serviço" do Console do GCP e tem as seguintes restrições:

Como verificar a conta de serviço do ambiente flexível do App Engine

Para verificar se a conta de serviço do ambiente flexível do App Engine existe no projeto do GCP, consulte a página "Permissões" no Console do GCP:

  1. Abra o Console do GCP.

    Acessar a página "Permissões"

  2. Na lista de membros, localize o ID da conta de serviço do ambiente flexível do App Engine.

    A conta de serviço do ambiente flexível do App Engine usa o ID do membro:
    service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com

  3. A conta de serviço do ambiente flexível do App Engine precisa ter o papel de Agente de serviço do ambiente flexível do App Engine.

Papel de agente de serviço

A conta de serviço do ambiente flexível do App Engine tem o papel de agente de serviço desse ambiente, que inclui um conjunto de permissões necessárias para o App Engine gerenciar os apps do ambiente flexível. Por exemplo, esse papel inclui permissões para realizar as tarefas a seguir:

  • Implantar uma nova versão.
  • Interromper ou excluir versões.
  • Realizar atualizações de sistema e reinicializações automáticas semanais.

Reserve o papel de Agente de serviço do ambiente flexível do App Engine apenas para a conta de serviço desse ambiente. Não use nem atribua esse papel do IAM a qualquer conta de usuário porque as permissões mudam sem aviso.

Solução de problemas

Se você excluir por acidente a conta de serviço, reative a API do ambiente flexível do Google App Engine para recriá-la.