App Engine-Anwendungen benötigen ein Dienstkonto, um auf andere Google Cloud-Dienste zugreifen und Aufgaben ausführen zu können. Standardmäßig wird das App Engine-Standarddienstkonto als Identität Ihrer App Engine-Anwendung verwendet. Sie können auch ein anderes nutzerverwaltetes Dienstkonto angeben, das als Identität für eine bestimmte Version Ihrer App Engine-Anwendung verwendet werden soll. Auf diese Weise können Sie jeder Version unterschiedliche Rechte gewähren, basierend auf den spezifischen Aufgaben, die sie ausführt, und vermeiden, mehr Rechte als nötig zu gewähren.
In dieser Anleitung wird beschrieben, wie Sie ein anderes nutzerverwaltetes Dienstkonto angeben, wenn Sie eine neue Version bereitstellen. Wenn Sie beim Bereitstellen einer bestimmten Version Ihrer Anwendung kein eigenes Dienstkonto erstellen möchten, können Sie das Standarddienstkonto ohne Angabe eines Dienstkontos verwenden.
Nutzerverwaltetes Dienstkonto erstellen
Informationen zum Erstellen eines nutzerverwalteten Dienstkontos finden Sie in dieser Anleitung. Wenn Sie IAM-Rollen (Identity and Access Management) definieren, die Ihrem Dienstkonto zugewiesen werden sollen, finden Sie weitere Informationen unter Rollen mit Zugriffsberechtigung für App Engine.
Wenn Sie IAM-Konzepte prüfen möchten, bevor Sie Ihr Dienstkonto erstellen, lesen Sie die Übersicht über IAM-Konzepte und Dienstkonten.
Dienstkonto beim Bereitstellen der Anwendung angeben
gcloud
Führen Sie den Befehl gcloud app deploy
aus und geben Sie Ihr Dienstkonto an:
gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
app.yaml
Geben Sie in der Datei app.yaml
das Dienstkonto an, indem Sie das Element service_account
hinzufügen:
service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Nächste Schritte
Folgen Sie den Best Practices für die Arbeit mit Dienstkonten.