App Engine include un account di servizio gestito da Google denominato Agente di servizio dell'ambiente flessibile di App Engine. Questo agente di servizio consente ai servizi di agire per tuo conto quando accedono ad altre risorse Google Cloud. È essenziale mantenere l'agente di servizio non modificato.
Tieni presente che l'agente di servizio gestito da Google non è elencato nella pagina Account di servizio della console Google Cloud e non è correlato all'account di servizio predefinito di App Engine.
L'agente di servizio gestito da Google per il tuo progetto Google Cloud viene creato automaticamente al momento del deployment del primo servizio. Ad esempio, quando esegui il comando gcloud app deploy per la prima volta per eseguire il deployment di un'app nell'ambiente flessibile.
L'agente di servizio gestito da Google utilizza il ruolo IAM predefinito Agente di servizio dell'ambiente flessibile di App Engine, che include un insieme di autorizzazioni necessarie ad App Engine per gestire le tue app. Questo ruolo viene concesso automaticamente all'agente di servizio al momento della creazione dell'agente.
Ad esempio, le autorizzazioni consentono al progetto Google Cloud di ottenere un token di accesso che le istanze App Engine utilizzano per accedere ad altre risorse Google Cloud, ad esempio un bucket Cloud Storage.
Limitazioni importanti:
- Non revocare i ruoli concessi all'agente di servizio gestito da Google.
- Non concedere il ruolo Agente di servizio dell'ambiente flessibile di App Engine correlato a nessun altro account. Le autorizzazioni in questo ruolo possono cambiare senza preavviso.
Verifica l'agente di servizio
Per verificare che l'agente di servizio disponga del ruolo richiesto nel tuo progetto Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Autorizzazioni.
Nell'angolo in alto a destra della pagina Autorizzazioni, seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google.
Nell'elenco Entità, individua l'agente di servizio con il seguente ID:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Verifica che all'agente di servizio sia stato concesso il ruolo Agente di servizio dell'ambiente flessibile di App Engine.
Ripristina il ruolo richiesto per l'agente di servizio
Se rimuovi accidentalmente l'associazione del ruolo richiesto per l'agente di servizio ambiente flessibile App Engine per l'agente di servizio dal progetto Google Cloud, ripristinalo eseguendo questi passaggi:
Nella console Google Cloud, vai alla pagina Autorizzazioni.
Fai clic su Aggiungi.
Inserisci l'ID agente di servizio nel seguente formato:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Seleziona il ruolo Agente di servizio ambiente flessibile App Engine.
Fai clic su Salva.