App Engine 柔性环境服务帐号

除了 App Engine 默认服务帐号之外,App Engine 柔性环境还提供了一个由 Google 管理的服务帐号,即“App Engine 柔性环境服务帐号”。借助 App Engine 柔性环境服务帐号,Cloud 项目可以独立于其他 Google Cloud 服务与应用的资源进行交互。

在以下任一情况下,Google 会自动创建此帐号:

  • Google App Engine 柔性环境 API 已在 Cloud Console 中手动启用:

    转到“API 库”页面

  • 使用 App Engine 工具将第一个应用部署到 App Engine 柔性环境,例如:gcloud app deploy

App Engine 柔性环境服务帐号未在 Cloud Console 的“服务帐号”页面上列出,并且要遵守以下限制:

验证 App Engine 柔性环境服务帐号

要验证您的 Cloud 项目中是否存在 App Engine 柔性环境服务帐号,您必须查看 Cloud Console 中的“权限”页面:

  1. 打开 Cloud Console:

    转到“权限”页面

  2. 在“成员”列表中,找到 App Engine 柔性环境服务帐号的 ID。

    App Engine 柔性环境服务帐号使用以下成员 ID:
    service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com

  3. App Engine 柔性环境服务帐号应具有 App Engine Flexible Environment Service Agent 角色。

“Service Agent”角色

App Engine 柔性环境服务帐号具有 App Engine Flexible Environment Service Agent 角色,此角色拥有 App Engine 管理柔性环境应用所需的一组权限。例如,此角色拥有执行以下任务的权限:

  • 部署新版本。
  • 停止或删除现有版本。
  • 每周自动重启,自动更新系统。

App Engine Flexible Environment Service Agent 角色应仅保留给 App Engine 柔性环境服务帐号使用。此 IAM 角色变更权限时可能不会另行通知,因此不得使用此角色或将其分配给任何用户帐号。

问题排查

如果不小心删除了 App Engine 柔性环境服务帐号,请重新启用 Google App Engine Flexible Environment API,以重新创建服务帐号。