Le app di App Engine richiedono un account di servizio per accedere ad altri servizi di Google Cloud ed eseguire le attività. Per impostazione predefinita, viene utilizzato l'account di servizio predefinito di App Engine come identità dell'app App Engine. Puoi anche specificare un account di servizio gestito dall'utente da utilizzare come identità per una versione specifica dell'app App Engine. Questo ti consente di concedere privilegi diversi a ogni versione, in base alle attività specifiche di cui è eseguita ed evitare di concedere più privilegi del necessario.
Questa guida illustra come specificare un account di servizio gestito dall'utente durante il deployment di una nuova versione. Se non hai bisogno di creare un account di servizio separato quando esegui il deployment di una versione specifica della tua app, puoi continuare a utilizzare l'account di servizio predefinito non specificando un account di servizio.
Creazione di un account di servizio gestito dall'utente
Per creare un account di servizio gestito dall'utente, consulta queste istruzioni. Quando definisci i ruoli di Identity and Access Management (IAM) per concedere l'account di servizio, puoi fare riferimento ai ruoli che concedono l'accesso ad App Engine.
Se devi esaminare i concetti IAM prima di creare l'account di servizio, consulta le informazioni generali sui concetti IAM e le guide agli account di servizio.
Specifica di un account di servizio durante il deployment dell'app
gcloud
Esegui il comando gcloud app deploy e specifica l'account di servizio:
gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
app.yaml
Nel file
app.yaml
specifica il tuo account di servizio aggiungendo l'elemento
service_account:
service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Passaggi successivi
Segui le best practice per l'utilizzo degli account di servizio.