O App Engine inclui uma conta de serviço gerenciada pelo Google chamada Agente de serviço do ambiente flexível do App Engine . Esse agente permite que seus serviços atuem em seu nome ao acessar outros recursos do Google Cloud. É essencial manter o agente de serviço inalterado.
Observe que o agente de serviço gerenciado pelo Google não está listado na página Contas de serviço do console do Google Cloud e não está relacionado à conta de serviço padrão do App Engine.
O agente de serviço gerenciado pelo Google para seu projeto do Google Cloud é criado automaticamente
quando você implanta seu primeiro serviço. Por exemplo, quando você executa o
comando gcloud app deploy
pela primeira vez para implantar um app no
ambiente flexível.
O agente de serviço gerenciado pelo Google usa o papel predefinido do IAM de agente de serviço do ambiente flexível do App Engine , que inclui um conjunto de permissões necessárias para que o App Engine gerencie seus apps. Esse papel é concedido automaticamente ao agente de serviço quando ele é criado.
Por exemplo, as permissões permitem que o projeto do Google Cloud receba um token de acesso que as instâncias do App Engine usam para acessar outros recursos do Google Cloud, como um bucket do Cloud Storage.
Restrições importantes:
- Não revogue os papéis concedidos ao agente de serviço gerenciado pelo Google.
- Não conceda o papel de agente de serviço do ambiente flexível do App Engine a qualquer outra conta. As permissões nesse papel podem ser alteradas sem aviso prévio.
Verificar o agente de serviço
Para verificar se o agente de serviço tem o papel necessário no projeto do Google Cloud, execute as seguintes etapas:
No console do Google Cloud, acesse a página Permissões.
No canto superior direito da página Permissões, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Na lista Participantes, localize o agente de serviço com o ID
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
.Verifique se o agente de serviço recebeu o papel de Agente de serviço do ambiente flexível do App Engine.
Restaurar o papel necessário para o agente de serviço
Se você remover acidentalmente a vinculação do papel Agente de serviço do ambiente flexível do App Engine necessária para o agente de serviço do projeto do Google Cloud, restaure-a seguindo as etapas a seguir:
No console do Google Cloud, acesse a página Permissões.
Clique em Adicionar.
Digite o ID do agente de serviço no seguinte formato:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
.Selecione o papel Agente de serviço do ambiente flexível do App Engine.
Clique em Save.