注: 今後数か月にわたり、App Engine ドキュメントサイトの再編成を行い、コンテンツを見つけやすくして、他の Google Cloud プロダクトとより適切に連携できるようにします。同じコンテンツを使用できますが、ナビゲーションは残りの Cloud プロダクトと同じになります。

ユーザー管理のサービスアカウントの使用

Python |Java |Node.js |Go |Ruby |PHP |.NET

App Engine アプリが他の Google Cloud サービスにアクセスしてタスクを実行するには、サービスアカウントが必要です。デフォルトでは、App Engine のデフォルトのサービスアカウントが、App Engine アプリの ID として使用されます。ユーザー管理サービスアカウントを指定し、App Engine アプリの特定のバージョンの ID として使用することもできます。これにより、実行される特定のタスクに基づいて、各バージョンに異なる権限を付加できるようになり、権限を必要以上に付与することを防止できます。

このガイドでは、新しいバージョンをデプロイするときにユーザー管理のサービスアカウントを指定する方法について説明します。特定のバージョンのアプリをデプロイする際に別のサービスアカウントを作成する必要がない場合は、サービスアカウントを指定しないことによって、デフォルトのサービスアカウントを引き続き使用できます。

ユーザー管理のサービスアカウントを作成する

ユーザー管理のサービスアカウントを作成するには、こちらの手順をご覧ください。サービスアカウントに付与する Identity and Access Management（IAM）ロールを定義する場合は、App Engine へのアクセスを許可するロールをご覧ください。

サービスアカウントを作成する前に IAM のコンセプトを確認する必要がある場合は、IAM のコンセプトの概要とサービスアカウントのガイドをご覧ください。

アプリのデプロイ時にサービスアカウントを指定する

gcloud

gcloud app deploy コマンドを実行して、サービスアカウントを指定します。

gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

app.yaml

app.yaml ファイルで、service_account 要素を追加してサービスアカウントを指定します。

service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

次のステップ

サービスアカウントを操作するためのベストプラクティスを実践する。