App Engine에는 App Engine 가변형 환경 서비스 에이전트라는 서비스 에이전트가 있습니다. 이 서비스 에이전트는 다른 Google Cloud 리소스에 액세스할 때 서비스가 사용자 대신 작동할 수 있게 해줍니다. 서비스 에이전트를 수정하지 않은 상태로 유지하는 것이 중요합니다.
서비스 에이전트는 Google Cloud 콘솔의 서비스 계정 페이지에 나열되지 않고 App Engine 기본 서비스 계정과 관련이 없습니다.
Google Cloud 프로젝트의 서비스 에이전트는 첫 번째 서비스 배포 시 자동으로 생성됩니다(예: 가변형 환경에서 앱을 배포하기 위해 처음으로 gcloud app
deploy
명령어를 실행한 후).
서비스 에이전트는 앱 관리를 위해 App Engine에 필요한 권한 집합이 포함된 App Engine 가변형 환경 서비스 에이전트의 사전 정의된 IAM 역할을 사용합니다. 이 역할은 서비스 에이전트가 실행될 때 자동으로 서비스 에이전트에 부여됩니다.
예를 들어 이러한 권한이 있으면 Google Cloud 프로젝트가 Cloud Storage 버킷과 같이 다른 Google Cloud 리소스에 액세스하기 위해 App Engine 인스턴스에 사용되는 액세스 토큰을 가져올 수 있습니다.
중요 제한사항:
- 서비스 에이전트에 부여된 역할을 취소하지 마세요.
- 관련된 App Engine 가변형 환경 서비스 에이전트 역할을 다른 계정에 부여하지 마세요. 이 역할의 권한은 예고없이 변경될 수 있습니다.
서비스 에이전트 확인
서비스 에이전트에 Google Cloud 프로젝트에서 필요한 역할이 있는지 확인하려면 다음 단계를 수행하세요.
Google Cloud 콘솔에서 권한 페이지로 이동합니다.
권한 페이지의 오른쪽 위 모서리에서 Google 제공 역할 부여 체크박스를 선택합니다.
주 구성원 목록에서 다음 ID를 사용하는 서비스 에이전트를 찾습니다.
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
.서비스 에이전트에 App Engine 가변형 환경 서비스 에이전트 역할이 부여되었는지 확인합니다.
서비스 에이전트의 필수 역할 복원
서비스 에이전트에 필요한 App Engine 가변형 환경 서비스 에이전트 역할 바인딩을 Google Cloud 프로젝트에서 실수로 삭제한 경우 다음 단계를 수행하여 복원합니다.
Google Cloud 콘솔에서 권한 페이지로 이동합니다.
추가를 클릭합니다.
서비스 에이전트 ID를 다음 형식으로 입력합니다.
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
.App Engine 가변형 환경 서비스 에이전트 역할을 선택합니다.
저장을 클릭합니다.