Oltre all'account di servizio predefinito di App Engine, l'ambiente standard di App Engine include un agente di servizio dell'ambiente standard di App Engine. L'agente di servizio consente al progetto Google Cloud di interagire con le risorse della tua app separatamente dagli altri servizi Google Cloud.
Google crea automaticamente questo account quando esegui il deployment della prima app di un progetto nell'ambiente standard di App Engine utilizzando gli strumenti di App Engine, ad esempio il comando gcloud app deploy.
L'agente di servizio non è elencato nella pagina Account di servizio della console Google Cloud e ha le seguenti limitazioni:
- Non revocare i ruoli concessi all'agente di servizio.
- Non concedere il ruolo di agente di servizio dell'ambiente standard di App Engine a nessun altro account, poiché le autorizzazioni incluse nel ruolo possono cambiare senza preavviso.
Verifica dell'agente di servizio dell'ambiente standard di App Engine
Per verificare che l'agente di servizio esista nel progetto Google Cloud, segui questi passaggi:
Apri la console Google Cloud:
Nell'angolo in alto a destra della pagina Autorizzazioni, seleziona la casella di controllo Includi concessioni dei ruoli fornite da Google.
Nell'elenco Entità, individua l'ID dell'agente di servizio dell'ambiente standard di App Engine, che utilizza l'ID
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.Verifica che all'agente di servizio sia stato concesso il ruolo di Agente di servizio dell'ambiente standard di App Engine.
Ruolo di Agente di servizio
L'agente di servizio ha il ruolo di Agente di servizio per l'ambiente standard di App Engine. Il ruolo include un insieme di autorizzazioni necessarie ad App Engine per gestire le app dell'ambiente standard. Ad esempio, questo ruolo include le autorizzazioni per eseguire le attività seguenti:
- Ricevi un token di accesso per consentire alle istanze di App Engine di accedere ad altre risorse Google Cloud, ad esempio un bucket Cloud Storage.
- Utilizza l'API Blobstore dai servizi in bundle legacy di App Engine.
Il ruolo di Agente di servizio dell'ambiente standard di App Engine è riservato all'agente di servizio. Non concedere questo ruolo IAM ad altri account perché le autorizzazioni incluse nel ruolo possono cambiare senza preavviso.
Ripristino di un agente di servizio eliminato
Se elimini per errore l'agente di servizio dell'ambiente standard di App Engine, ripristinalo seguendo questa procedura:
Apri la console Google Cloud:
Fai clic su Aggiungi.
Inserisci l'ID agente di servizio nel formato
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.Seleziona il ruolo Agente di servizio dell'ambiente standard di App Engine.
Fai clic su Salva.