Além da conta de serviço padrão, o ambiente flexível do App Engine inclui uma conta de serviço gerenciada pelo Google chamada conta de serviço do ambiente flexível do App Engine. A conta de serviço do ambiente flexível do App Engine permite que o projeto do Cloud interaja com os recursos do aplicativo separadamente de outros serviços do Google Cloud.
O Google cria automaticamente essa conta quando você implanta o primeiro app de um projeto no
ambiente flexível do App Engine usando ferramentas do App Engine,
como o comando gcloud app deploy.
A conta de serviço do ambiente flexível do App Engine não está listada na página "Contas de serviço" do Console do Cloud e tem as seguintes restrições:
- Não revogue os papéis que são concedidos à conta de serviço do ambiente flexível do App Engine.
- Não conceda o papel de Agente de serviço de ambiente flexível do App Engine a nenhuma outra conta, porque as permissões que o papel inclui podem mudar sem aviso.
Verificar a conta de serviço de ambiente flexível do App Engine
Para verificar se a conta de serviço do ambiente flexível do App Engine existe no projeto do Cloud, execute as seguintes etapas:
Abra o Console do Cloud:
Na lista de membros, localize o ID da conta de serviço do ambiente flexível do App Engine.
A conta de serviço do ambiente flexível do App Engine usa o ID do membro
service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.comVerifique se a conta de serviço do ambiente flexível do App Engine recebeu o papel de Agente de serviço do ambiente flexível do App Engine.
Papel de agente de serviço
A conta de serviço do ambiente flexível do App Engine tem o papel de agente de serviço desse ambiente. O papel inclui um conjunto de permissões necessárias para o ambiente flexível do Python gerenciar seus aplicativos de ambiente flexível. Por exemplo, esse papel inclui permissões para realizar as tarefas a seguir:
- Implantar uma nova versão.
- Interromper ou excluir versões.
- Realizar atualizações de sistema e reinicializações automáticas semanais.
O papel de agente de serviço do ambiente flexível do App Engine é reservado para a conta de serviço desse ambiente. Não conceda este papel do IAM a qualquer outra conta, porque as permissões que o papel inclui podem mudar sem aviso prévio.
Como restaurar uma conta de serviço excluída
Se você excluir acidentalmente a conta de serviço de ambiente flexível do App Engine, e se ela tiver sido excluída nos últimos 30 dias, poderá restaurá-la seguindo as etapas em Como cancelar a exclusão de uma conta de serviço.