Agente de servicio administrado por Google

App Engine incluye un agente de servicio llamado agente de servicio del entorno flexible de App Engine . Este agente de servicio permite que tus servicios actúen en tu nombre cuando acceden a otros recursos de Google Cloud. Es fundamental mantener el agente de servicio sin modificaciones.

Ten en cuenta que el agente de servicio no aparece en la página Cuentas de servicio en la consola de Google Cloud y no está relacionada con la cuenta de servicio predeterminada de App Engine.

El agente de servicio de tu proyecto de Google Cloud se crea automáticamente después de que implementes tu primer servicio, por ejemplo, después de ejecutar el comando gcloud app deploy por primera vez para implementar una app en el entorno flexible.

El agente de servicio usa el rol predefinido de IAM Agente de servicio del entorno flexible de App Engine, que incluye un conjunto de permisos necesarios para que App Engine administre tus apps. Este rol se otorga al agente de servicio de forma automática cuando se crea el agente de servicio.

Por ejemplo, los permisos permiten que tu proyecto de Google Cloud obtenga un token de acceso que usan tus instancias de App Engine para acceder a otros recursos de Google Cloud, como un bucket de Cloud Storage.

Restricciones importantes:

Verifica el agente de servicio

Para verificar que el agente de servicio tenga el rol necesario en tu proyecto de Google Cloud, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Permisos.

    Ir a Permisos

  2. En la esquina superior derecha de la página Permisos, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.

  3. En la lista Principales, busca el agente de servicio con el siguiente ID:
    service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.

  4. Verifica que el agente de servicio tenga el rol de agente de servicio del entorno flexible de App Engine.

Restablece el rol requerido para el agente de servicio

Si quitas accidentalmente la vinculación del rol de agente de servicio del entorno flexible de App Engine para el agente de servicio de tu proyecto de Google Cloud, restablécela mediante los siguientes pasos:

  1. En la consola de Google Cloud, ve a la página Permisos.

    Ir a Permisos

  2. Haz clic en Agregar.

  3. Ingresa el ID del agente de servicio en el siguiente formato:
    service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.

  4. Selecciona el rol Agente de servicio del entorno flexible de App Engine.

  5. Haz clic en Guardar.