Agente de serviço gerenciado pelo Google

O App Engine inclui um agente de serviço chamado Agente de serviço do ambiente flexível do App Engine . Esse agente permite que seus serviços atuem em seu nome ao acessar outros recursos do Google Cloud. É essencial manter o agente de serviço inalterado.

O agente de serviço não está listado na página Contas de serviço do console do Google Cloud e não está relacionado à conta de serviço padrão do App Engine.

O agente de serviço do projeto do Google Cloud é criado automaticamente depois que você implanta o primeiro serviço, por exemplo, depois de executar o comando gcloud app deploy pela primeira vez para implantar um app no ambiente flexível.

O agente de serviço usa o papel predefinido do IAM de agente de serviço do ambiente flexível do App Engine, que inclui um conjunto de permissões necessárias para que o App Engine gerencie seus apps. Esse papel é concedido automaticamente ao agente de serviço quando ele é criado.

Por exemplo, as permissões permitem que o projeto do Google Cloud receba um token de acesso que as instâncias do App Engine usam para acessar outros recursos do Google Cloud, como um bucket do Cloud Storage.

Restrições importantes:

• Não revogar os papéis que são concedidos ao agente de serviço.
• Não conceda o papel de agente de serviço do ambiente flexível do App Engine a qualquer outra conta. As permissões nesse papel podem ser alteradas sem aviso prévio.

Verificar o agente de serviço

Para verificar se o agente de serviço tem o papel necessário no projeto do Google Cloud, execute as seguintes etapas:

1. No console do Google Cloud, acesse a página Permissões.

   Ir para permissões

2. No canto superior direito da página Permissões, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.

3. Na lista Participantes, localize o agente de serviço com o ID
   service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.

4. Verifique se o agente de serviço recebeu o papel de Agente de serviço do ambiente flexível do App Engine.

Restaurar o papel necessário para o agente de serviço

Se você remover acidentalmente a vinculação do papel Agente de serviço do ambiente flexível do App Engine necessária para o agente de serviço do projeto do Google Cloud, restaure-a seguindo as etapas a seguir:

1. No console do Google Cloud, acesse a página Permissões.

   Ir para permissões

2. Clique em Adicionar.

3. Digite o ID do agente de serviço no seguinte formato:
   service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.

4. Selecione o papel Agente de serviço do ambiente flexível do App Engine.

5. Clique em Save.