Além da conta de serviço padrão, o ambiente flexível do App Engine inclui uma conta de serviço gerenciada pelo Google chamada conta de serviço do ambiente flexível do App Engine. O agente de serviço permite que seu projeto do Cloud interaja com os recursos do aplicativo separadamente de outros serviços do Google Cloud.
O Google cria automaticamente essa conta quando você implanta o primeiro app de um projeto
no ambiente flexível do App Engine usando ferramentas do App Engine,
como o comando gcloud app deploy.
O agente de serviço não está listado na página "Contas de serviço" do Console do Cloud e tem as seguintes restrições:
- Não revogar os papéis que são concedidos ao agente de serviço.
- Não conceder o papel de Agente de serviço do ambiente flexível do App Engine a nenhuma outra conta, porque as permissões que o papel inclui podem mudar sem aviso prévio.
Como verificar a conta de serviço do ambiente flexível do App Engine
Para verificar se o agente de serviço existe no projeto do Cloud:
Abra o Console do Cloud:
No canto superior direito da página Permissões, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Na lista Membros, localize o ID do agente de serviço do ambiente flexível do App Engine, que usa o ID do membro
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Verifique se o agente de serviço recebeu o papel de Agente de serviço do ambiente flexível do App Engine.
Papel de agente de serviço
O agente de serviço tem o papel de agente de serviço do ambiente flexível do App Engine. O papel inclui um conjunto de permissões necessárias para o ambiente flexível do Python gerenciar seus aplicativos de ambiente flexível. Por exemplo, esse papel inclui permissões para realizar as tarefas a seguir:
- Implantar uma nova versão.
- Interromper ou excluir versões.
- Realizar atualizações de sistema e reinicializações automáticas semanais.
O papel de agente de serviço do ambiente flexível do App Engine é reservado para o agente de serviço. Não conceda esse papel do IAM a qualquer outra conta, porque as permissões que ele inclui podem mudar sem aviso prévio.
Como restaurar um agente de serviço excluído
Se você excluir acidentalmente o agente de serviço do ambiente flexível do App Engine, restaure-o executando as seguintes etapas:
Abra o Console do Cloud:
Clique em Add.
Insira o ID do membro do agente de serviço usando o formato
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Selecione o papel Agente de serviço do ambiente flexível do App Engine.
Clique em Save.