デフォルトの App Engine サービス アカウントに加え、App Engine フレキシブル環境には、App Engine フレキシブル環境のサービス エージェントという名前の Google が管理するサービス アカウントが含まれます。サービス エージェントを使用すると、Cloud プロジェクトは、他の Google Cloud サービスとは別にアプリのリソースとやりとりできます。
App Engine ツール(gcloud app deploy
コマンドなど)を使用して、プロジェクトの最初のアプリを App Engine フレキシブル環境にデプロイすると、このアカウントが自動的に作成されます。
サービス エージェントは、Google Cloud コンソールの [サービス アカウント] ページには表示されません。また、次の制限があります。
- サービス エージェントに付与されているロールを取り消さないでください。
- 関連する App Engine フレキシブル環境のサービス エージェントのロールは、他のアカウントに付与しないでください。このロールに含まれる権限は予告なく変更される可能性があるためです。
App Engine フレキシブル環境のサービス エージェントの確認
Cloud プロジェクトにサービス エージェントが存在することを確認するには、次の手順を行います。
Google Cloud コンソールを開きます。
[権限] ページの右上にある [Google 提供のロール付与を含みます] チェックボックスをオンにします。
[プリンシパル] リストで、次の ID を使用する App Engine フレキシブル環境のサービス エージェントの ID を見つけます。
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
サービス エージェントに App Engine フレキシブル環境のサービス エージェント ロールが付与されていることを確認します。
サービス エージェントの役割
サービス エージェントには、App Engine フレキシブル環境のサービス エージェント ロールが付与されています。このロールはサービス エージェント用に予約されており、PHP フレキシブル環境でフレキシブル環境アプリを管理するために必要な一連の権限が含まれています。この IAM ロールを他のアカウントに付与しないでください。このロールに含まれる権限は予告なく変更される可能性があるためです。
削除されたサービス エージェントの復元
App Engine フレキシブル環境のサービス エージェントを誤って削除した場合は、次の手順で復元します。
Google Cloud コンソールを開きます。
[追加] をクリックします。
次の形式でサービス エージェント ID を入力します。
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
[App Engine フレキシブル環境のサービス エージェント] ロールを選択します。
[保存] をクリックします。