除了 App Engine 默认服务帐号之外,App Engine 柔性环境还提供了一个由 Google 管理的服务帐号,即“App Engine 柔性环境服务代理”。借助服务代理,您的 Cloud 项目能够独立于其他 Google Cloud 服务与应用资源进行交互。
当您使用 App Engine 工具(例如 gcloud app deploy 命令)将项目的第一个应用部署到 App Engine 柔性环境时,Google 会自动创建此帐号。
该服务代理未在 Cloud Console 的“服务帐号”页面上列出,并且具有以下限制:
- 请勿撤消授予服务代理的角色。
- 请勿向任何其他帐号授予相关的 App Engine Flexible Environment Service Agent 角色,因为该角色包含的权限随时可能变动,而不另行通知。
验证 App Engine 柔性环境服务代理
如需验证您的 Cloud 项目中是否存在服务代理,请执行以下步骤:
打开 Cloud Console:
在“成员”列表中,找到 App Engine 柔性环境服务代理的 ID。
服务代理使用成员 ID
service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com验证是否已经为服务代理授予 App Engine Flexible Environment Service Agent 角色。
“服务代理”角色
服务代理具有 App Engine Flexible Environment Service Agent 角色。此角色拥有 Go 柔性环境管理柔性环境应用所需的一组权限。例如,此角色拥有执行以下任务的权限:
- 部署新版本。
- 停止或删除现有版本。
- 每周自动重启,自动更新系统。
系统会为服务代理保留 App Engine Flexible Environment Service Agent 角色。请勿将此 IAM 角色授予任何其他帐号,因为该角色包含的权限随时可能变动,而不另行通知。
恢复已删除的服务代理
如果您不小心删除了 App Engine 柔性环境服务代理,请执行以下步骤来恢复代理:
打开 Cloud Console:
点击添加。
按照
service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com格式输入服务代理成员 ID。选择 App Engine Flexible Environment Service Agent 角色。
点击保存。