除了 App Engine 默认服务帐号之外,App Engine 柔性环境还提供了一个由 Google 管理的服务帐号,即“App Engine 柔性环境服务代理”。借助 App Engine 柔性环境服务代理,您的 Cloud 项目可以独立于其他 Google Cloud 服务与应用的资源进行交互。
当您使用 App Engine 工具(例如 gcloud app deploy 命令)将项目的第一个应用部署到 App Engine 柔性环境时,Google 会自动创建此帐号。
App Engine 柔性环境服务代理不会列在 Cloud Console 的“服务帐号”页面上,并且存在以下限制:
- 请勿撤消向 App Engine 柔性环境服务代理授予的角色。
- 请勿向任何其他帐号授予相关的 App Engine Flexible Environment Service Agent 角色,因为该角色包含的权限随时可能变动,而不另行通知。
验证 App Engine 柔性环境服务代理
如需验证您的 Cloud 项目中是否存在 App Engine 柔性环境服务代理,请执行以下步骤:
打开 Cloud Console:
在“成员”列表中,找到 App Engine 柔性环境服务代理的 ID。
App Engine 柔性环境服务代理使用以下成员 ID
service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com验证 App Engine 柔性环境服务代理是否已被授予 App Engine Flexible Environment Service Agent 角色。
“服务代理”角色
App Engine 柔性环境服务代理具有 App Engine Flexible Environment Service Agent 角色。此角色拥有 Go 柔性环境管理柔性环境应用所需的一组权限。例如,此角色拥有执行以下任务的权限:
- 部署新版本。
- 停止或删除现有版本。
- 每周自动重启,自动更新系统。
App Engine Flexible Environment Service Agent 角色预留给 App Engine 柔性环境服务代理。请勿将此 IAM 角色授予任何其他帐号,因为该角色包含的权限随时可能变动,而不另行通知。
恢复已删除的服务代理
如果您不小心删除了 App Engine 柔性环境服务代理,请通过执行以下步骤来恢复此代理:
打开 Cloud Console:
点击添加。
使用
service-[YOUR_PROJECT_NUMBER]@gae-api-prod.google.com.iam.gserviceaccount.com格式输入 App Engine 柔性环境服务代理成员 ID。选择 App Engine Flexible Environment Service Agent 角色。
点击保存。