Além da conta de serviço predefinida do App Engine, o ambiente padrão do App Engine inclui um agente de serviço do ambiente padrão do App Engine. O agente de serviço permite que o seu Google Cloud projeto interaja com os recursos da sua app separadamente de outros Google Cloud serviços.
A Google cria automaticamente esta conta quando implementa a primeira app de um projeto
no ambiente padrão do App Engine através das ferramentas do App Engine,
como o comando gcloud app deploy.
O agente do serviço não está listado na página Contas de serviço da consola Google Cloud e tem as seguintes restrições:
- Não revogue as funções concedidas ao agente do serviço.
- Não conceda a função relacionada Agente de serviço do ambiente padrão do App Engine a nenhuma outra conta, porque as autorizações que a função inclui podem mudar sem aviso prévio.
Validar o agente de serviço do ambiente padrão do App Engine
Para verificar se o agente de serviço existe no seu Google Cloud projeto, siga estes passos:
Abra a Google Cloud consola:
No canto superior direito da página Autorizações, selecione a caixa de verificação Incluir concessões de funções fornecidas pela Google.
Na lista Principais, localize o ID do agente do serviço do ambiente padrão do App Engine, que usa o ID
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.Verifique se ao agente de serviço lhe foi concedido o papel de agente de serviço do ambiente padrão do App Engine.
Função de agente do serviço
O agente do serviço tem a função de agente do serviço do ambiente padrão do App Engine. A função inclui um conjunto de autorizações necessárias para o App Engine gerir as suas apps de ambiente padrão. Por exemplo, esta função inclui autorizações para realizar as seguintes tarefas:
- Obtenha um token de acesso para que as instâncias do App Engine acedam a outros Google Cloud recursos, como um contentor do Cloud Storage.
- Use a API Blobstore dos serviços agrupados legados do App Engine.
A função de agente do serviço do ambiente padrão do App Engine está reservada para o agente do serviço. Não conceda esta função do IAM a nenhuma outra conta, porque as autorizações que a função inclui podem mudar sem aviso prévio.
Restaurar um agente de serviço eliminado
Se eliminar acidentalmente o agente de serviço do ambiente padrão do App Engine, restaure-o seguindo estes passos:
Abra a Google Cloud consola:
Clique em Adicionar.
Introduza o ID do agente de serviço no formato
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.Selecione a função Agente de serviço do ambiente padrão do App Engine.
Clique em Guardar.