App Engine 彈性環境的服務帳戶

App Engine 彈性環境包括 Google 代管服務帳戶,即「App Engine 彈性環境服務帳戶」,此帳戶可代表應用程式執行彈性環境特定工作。

App Engine 彈性環境服務帳戶和您的 GCP 專案相關聯,可從其他 GCP 服務中獨立出來,讓專案與應用程式的資源互動。

系統會在下列情況中,自動在 GCP 專案裡建立 App Engine 彈性環境服務帳戶:

  • 當您在 GCP 主控台中手動啟用 Google App Engine Flexible Environment API 時:

    前往「API Library」(API 程式庫) 頁面

  • 當您使用 App Engine 工具 (例如:gcloud app deploy),在 App Engine 彈性環境中部署第一個應用程式時

請注意,App Engine 彈性環境的服務帳戶與 App Engine 的預設服務帳戶是不一樣的。App Engine 彈性環境的服務帳戶不會列在 GCP 主控台的「Service Accounts」(服務帳戶) 頁面中,且具有下列限制:

  • 請勿修改 App Engine 彈性環境服務帳戶的權限。
  • 避免讓任何使用者帳戶與相關的 App Engine 彈性環境服務代理人角色搭配使用。我們建議您不要依賴角色,因為角色可能會在您不知情的情況下變更。

驗證 App Engine 彈性環境的服務帳戶

如前所述,App Engine 彈性環境服務帳戶不會列於 GCP 主控台的「服務帳戶」頁面中。因此,如要確認 GCP 專案中是否存在 App Engine 彈性環境服務帳戶,您必須查看 GCP 主控台中的「權限」頁面:

  1. 開啟 GCP 主控台:

    前往「Permissions」(權限) 頁面

  2. 在「Members」(成員) 清單中,尋找 App Engine 彈性環境服務帳戶的 ID。

    App Engine 彈性環境的服務帳戶會使用成員 ID:
    service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com

  3. App Engine 彈性環境的服務帳戶應該要擁有「App Engine 彈性環境服務代理人」角色。

服務代理人角色

App Engine 彈性環境服務帳戶擁有 App Engine 彈性環境服務代理人角色,其中包括了 App Engine 要管理彈性環境應用程式所需的一組權限。例如,此角色包括執行下列工作的權限:

  • 部署新版本。
  • 停止或刪除現有版本。
  • 自動於每週重新啟動和系統更新。

App Engine 彈性環境服務代理人角色僅保留給 App Engine 彈性環境服務帳戶使用。請勿使用或指派此 IAM 角色給任何使用者帳戶,因為角色權限變更時不會另行通知。

疑難排解

如果您不小心刪除了 App Engine 彈性環境服務帳戶,請重新啟用 Google App Engine Flexible Environment API 來重新建立該帳戶。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
.NET 文件適用的 App Engine 彈性環境