O App Engine inclui um agente de serviço chamado Agente de serviço do ambiente flexível do App Engine . Esse agente de serviço permite que seus serviços atuem em seu nome ao acessar outros recursos do Google Cloud . É essencial manter o agente de serviço inalterado.
O agente de serviço não está listado na página Contas de serviço do console do Google Cloud e não está relacionado à conta de serviço padrão do App Engine.
O agente de serviço do projeto Google Cloud é criado automaticamente depois que você
implanta o primeiro serviço, por exemplo, depois de executar o comando gcloud app
deploy pela primeira vez para implantar um app no ambiente
flexível.
O agente de serviço usa o papel predefinido do IAM de agente de serviço do ambiente flexível do App Engine, que inclui um conjunto de permissões necessárias para que o App Engine gerencie seus apps. Esse papel é concedido automaticamente ao agente de serviço quando ele é criado.
Por exemplo, as permissões permitem que o projeto Google Cloud receba um token de acesso que as instâncias do App Engine usam para acessar outros recursos do Google Cloud , como um bucket do Cloud Storage.
Restrições importantes:
- Não revogar os papéis que são concedidos ao agente de serviço.
- Não conceda o papel de agente de serviço do ambiente flexível do App Engine a qualquer outra conta. As permissões nesse papel podem ser alteradas sem aviso prévio.
Verificar o agente de serviço
Para verificar se o agente de serviço tem o papel necessário no projeto do Google Cloud , siga estas etapas:
No console do Google Cloud , acesse a página Permissões.
No canto superior direito da página Permissões, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Na lista Participantes, localize o agente de serviço com o ID
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Verifique se o agente de serviço recebeu o papel de Agente de serviço do ambiente flexível do App Engine.
Restaurar o papel necessário para o agente de serviço
Se você remover acidentalmente a vinculação do papel Agente de serviço do ambiente flexível do App Engine necessária para o agente de serviço do projeto Google Cloud , restaure-a seguindo as seguintes etapas:
No console do Google Cloud , acesse a página Permissões.
Clique em Adicionar.
Digite o ID do agente de serviço no seguinte formato:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Selecione o papel Agente de serviço do ambiente flexível do App Engine.
Clique em Salvar.