App Engine include un agente di servizio denominato App Engine flexible environment Service Agent . Questo agente di servizio consente ai tuoi servizi di agire per tuo conto quando accedono ad altre risorse Google Cloud. È essenziale mantenere l'agente di servizio invariato.
Tieni presente che l'agente di servizio non è elencato nella pagina Account di servizio della console Google Cloud e non è correlato all'account di servizio predefinito di App Engine.
L'agente di servizio per il progetto Google Cloud viene creato automaticamente
di eseguire il deployment del tuo primo servizio, ad esempio dopo aver eseguito il comando gcloud app
deploy
per la prima volta per eseguire il deployment di un'app nella
completamente gestito di Google Cloud.
L'agente di servizio utilizza il ruolo IAM predefinito Ambiente flessibile di App Engine agente di servizio, che include un insieme di autorizzazioni necessarie ad App Engine per gestire app. Questo ruolo viene concesso automaticamente all'agente di servizio quando viene dell'agente.
Ad esempio, le autorizzazioni consentono al tuo progetto Google Cloud per ottenere un token che le istanze di App Engine utilizzano per accedere ad altre risorse Google Cloud, ad esempio un bucket Cloud Storage.
Limitazioni importanti:
- Non revocare i ruoli concessi all'agente di servizio.
- Non concedere il relativo ruolo Agente di servizio dell'ambiente flessibile di App Engine ad altri account. Tieni presente che le autorizzazioni in questo ruolo possono cambiare senza preavviso.
Verificare l'agente di servizio
Per verificare che l'agente di servizio abbia il ruolo richiesto nel tuo per un progetto Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Autorizzazioni.
Nell'angolo in alto a destra della pagina Autorizzazioni, seleziona la Casella di controllo Includi concessioni dei ruoli fornite da Google.
Nell'elenco Entità, individua il servizio agente con il seguente ID:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
.Verifica che all'agente di servizio sia stato assegnato il ruolo Agente di servizio dell'ambiente flessibile di App Engine.
Ripristina il ruolo richiesto per l'agente di servizio
Se rimuovi accidentalmente l'associazione del ruolo App Engine flexible environment Service Agent richiesto per l'agente di servizio dal tuo progetto Google Cloud, ripristinalo svolgendo i seguenti passaggi:
Nella console Google Cloud, vai alla pagina Autorizzazioni.
Fai clic su Aggiungi.
Inserisci l'ID agente di servizio nel seguente formato:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
.Seleziona il ruolo Agente di servizio dell'ambiente flessibile di App Engine.
Fai clic su Salva.