Avviso: al momento, si verifica un
problema noto in cui il tuo
progetto potrebbe ricevere addebiti per le metriche con prefisso agent.googleapis.com se assegni
un account di servizio gestito dall'utente a una versione dell'ambiente flessibile di App Engine. In genere, queste metriche dell'agente non vengono addebitate al progetto. Ti consigliamo di continuare a utilizzare l'account di servizio predefinito di App Engine fino alla risoluzione del problema.
Le app di App Engine richiedono un account di servizio per poter accedere ad altri servizi Google Cloud ed eseguire attività. Per impostazione predefinita, l'account di servizio predefinito di App Engine viene utilizzato come identità dell'app App Engine. Puoi anche specificare un account di servizio gestito dall'utente da utilizzare come identità per una versione specifica dell'app App Engine. In questo modo puoi concedere privilegi diversi per ogni versione, in base alle attività specifiche che esegue, ed evitare di concedere più privilegi del necessario.
Questa guida spiega come specificare un account di servizio gestito dall'utente durante il deployment di una nuova versione. Se non devi creare un account di servizio distinto durante il deployment di una versione specifica dell'app, puoi continuare a utilizzare l'account di servizio predefinito senza specificare un account di servizio.
Creazione di un account di servizio gestito dall'utente
Per creare un account di servizio gestito dall'utente, consulta queste istruzioni. Quando definisci i ruoli IAM (Gestione di identità e accessi) per concedere il tuo account di servizio, puoi fare riferimento a Ruoli che concedono l'accesso ad App Engine.
Se devi esaminare i concetti IAM prima di creare il tuo account di servizio, consulta le guide alla panoramica sui concetti IAM e agli account di servizio.
Specifica di un account di servizio durante il deployment dell'app
gcloud
Esegui il comando gcloud beta app deploy e specifica l'account di servizio:
gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
app.yaml
Nel file
app.yaml, specifica il tuo account di servizio aggiungendo l'elemento
service_account:
service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Passaggi successivi
Segui le best practice su come gestire e proteggere gli account di servizio, come utilizzare e gestire gli account di servizio e come proteggere gli account di servizio.