App Engine enthält ein von Google verwaltetes Dienstkonto mit dem Namen Dienst-Agent für flexible App Engine-Umgebung. Mit diesem Dienst-Agent können Ihre Dienste in Ihrem Namen agieren, wenn Sie auf andere Google Cloud-Ressourcen zugreifen. Es ist wichtig, dass der Dienst-Agent unverändert bleibt.
Beachten Sie, dass der von Google verwaltete Dienst-Agent nicht im Dienstkonten Seite in der Google Cloud Console und bezieht sich nicht auf das App Engine-Standarddienstkonto.
Der von Google verwaltete Dienst-Agent für Ihr Google Cloud-Projekt wird automatisch erstellt, wenn Sie Ihren ersten Dienst bereitstellen. Beispielsweise, wenn Sie den Befehl gcloud app deploy zum ersten Mal ausführen, um eine Anwendung in der flexiblen Umgebung bereitzustellen.
Der von Google verwaltete Dienst-Agent verwendet die vordefinierte IAM-Rolle Dienst-Agent der flexiblen App Engine-Umgebung, die eine Reihe von Berechtigungen enthält, die App Engine zum Verwalten Ihrer Anwendungen benötigt. Diese Rolle wird dem Dienst-Agent automatisch zugewiesen, wenn der Dienst-Agent erstellt wird.
Mit den Berechtigungen kann Ihr Google Cloud-Projekt beispielsweise ein Zugriffstoken abrufen, das Ihre App Engine-Instanzen für den Zugriff auf andere Google Cloud-Ressourcen wie einen Cloud Storage-Bucket verwenden.
Wichtige Einschränkungen:
- Widerrufen Sie nicht die Rollen, die dem von Google verwalteten Dienst-Agent zugewiesen sind.
- Weisen Sie die zugehörige Rolle Dienst-Agent für flexible App Engine-Umgebung keinem anderen Konto zu. Die Berechtigungen in dieser Rolle können ohne Vorankündigung geändert werden.
Dienst-Agent prüfen
So prüfen Sie, ob der Dienst-Agent die erforderliche Rolle in Ihrem Google Cloud-Projekt hat:
Rufen Sie in der Google Cloud Console die Seite Berechtigungen auf.
Klicken Sie rechts oben auf der Seite Berechtigungen das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen an.
Suchen Sie in der Liste Hauptkonten den Dienst-Agent mit der ID
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.comPrüfen Sie, ob dem Dienst-Agent die Rolle Dienst-Agent für flexible App Engine-Umgebung zugewiesen wurde.
Erforderliche Rolle für den Dienst-Agent wiederherstellen
Wenn Sie versehentlich die erforderliche Rollenbindung des Dienst-Agents für die flexible App Engine-Umgebung für den Dienst-Agent aus Ihrem Google Cloud-Projekt entfernen, können Sie sie so wiederherstellen:
Rufen Sie in der Google Cloud Console die Seite Berechtigungen auf.
Klicken Sie auf Add (Hinzufügen).
Geben Sie die Dienst-Agent-ID im folgenden Format ein:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Wählen Sie die Rolle Dienst-Agent für flexible App Engine-Umgebung aus.
Klicken Sie auf Speichern.