Além da conta de serviço padrão do App Engine, o ambiente padrão do App Engine inclui um agente de serviço do ambiente padrão do App Engine. O agente de serviço permite que seu projeto do Google Cloud interaja com os recursos do aplicativo separadamente de outros serviços do Google Cloud.
O Google cria automaticamente essa conta quando você implanta o primeiro aplicativo de um projeto no ambiente padrão do App Engine usando ferramentas do App Engine, como o comando gcloud app deploy
.
O agente de serviço não está listado na página "Contas de serviço" do Console do Google Cloud e tem as seguintes restrições:
- Não revogar os papéis que são concedidos ao agente de serviço.
- Não conceder o papel de Agente de serviço do ambiente padrão do App Engine a qualquer outra conta, porque as permissões que o papel inclui podem mudar sem aviso prévio.
Como verificar a conta de serviço do ambiente padrão do App Engine
Para verificar se o agente de serviço existe no projeto do Google Cloud:
Abra o Console do Google Cloud:
No canto superior direito da página Permissões, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Na lista Principais, localize o ID do agente de serviço do ambiente padrão do App Engine, que usa o ID
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
.Verifique se o agente de serviço recebeu o papel de Agente de serviço do ambiente padrão do App Engine.
Papel de agente de serviço
O agente de serviço tem o papel de Agente de serviço do ambiente padrão do App Engine. O papel inclui um conjunto de permissões exigidas pelo App Engine para gerenciar os seus aplicativos do ambiente padrão. Por exemplo, esse papel inclui permissões para realizar as tarefas a seguir:
- Receber um token de acesso para que as instâncias do App Engine acessem outros recursos do Google Cloud, como um bucket do Cloud Storage.
- Usar a API Blobstore via serviços integrados legados do App Engine.
O papel de Agente de serviço do ambiente padrão do App Engine é reservado para o agente de serviço. Não conceda esse papel do IAM a qualquer outra conta, porque as permissões que ele inclui podem mudar sem aviso prévio.
Como restaurar um agente de serviço excluído
Se você excluir acidentalmente o agente de serviço do ambiente padrão do App Engine, restaure-o executando estas etapas:
Abra o Console do Google Cloud:
Clique em Adicionar.
Insira o ID do agente de serviço usando o formato
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
.Selecione o papel Agente de serviço do ambiente padrão do App Engine.
Clique em Salvar.