Além da conta de serviço padrão, o ambiente flexível do App Engine inclui uma conta de serviço gerenciada pelo Google chamada conta de serviço do ambiente flexível do App Engine. A conta de serviço do ambiente flexível do App Engine permite que o projeto do Cloud interaja com os recursos do aplicativo separadamente de outros serviços do Google Cloud.
O Google cria automaticamente essa conta quando ocorre uma das situações abaixo:
A API de ambiente flexível do Google App Engine é ativada manualmente no Console do Cloud:
O primeiro aplicativo é implantado no ambiente flexível com as ferramentas do App Engine. Por exemplo:
gcloud app deploy.
A conta de serviço do ambiente flexível do App Engine não está listada na página "Contas de serviço" do Console do Cloud e tem as seguintes restrições:
- Não modifique as permissões da conta de serviço do ambiente flexível do App Engine.
- Evite usar a função de Agente de serviço do ambiente flexível do App Engine com qualquer conta de usuário. Não dependa do papel porque ele pode mudar sem aviso.
Como verificar a conta de serviço do ambiente flexível do App Engine
Para verificar se a conta de serviço do ambiente flexível do App Engine existe no projeto do Cloud, você precisa ver a página "Permissões" no Console do Cloud:
Abra o Console do Cloud:
Na lista de membros, localize o ID da conta de serviço do ambiente flexível do App Engine.
A conta de serviço do ambiente flexível do App Engine usa o ID do membro:
service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.comA conta de serviço do ambiente flexível do App Engine precisa ter o papel de Agente de serviço do ambiente flexível do App Engine.
Papel de agente de serviço
A conta de serviço do ambiente flexível do App Engine tem o papel de agente de serviço desse ambiente, que inclui um conjunto de permissões necessárias para o App Engine gerenciar os apps do ambiente flexível. Por exemplo, esse papel inclui permissões para realizar as tarefas a seguir:
- Implantar uma nova versão.
- Interromper ou excluir versões.
- Realizar atualizações de sistema e reinicializações automáticas semanais.
O papel de agente de serviço do ambiente flexível do App Engine precisa ser reservado apenas para a conta de serviço desse ambiente. Não use nem atribua esse papel do IAM a qualquer conta de usuário porque as permissões mudam sem aviso.
Solução de problemas
Se você excluir acidentalmente a conta de serviço, reative a API Google App Engine Flexible Environment para recriá-la.