Después de crear una aplicación de App Engine, se crea la cuenta de servicio predeterminada de App Engine y se usa como identidad de tu aplicación de App Engine. La cuenta de servicio predeterminada de App Engine está asociada a tu proyecto de Google Cloud y ejecuta tareas en nombre de tus aplicaciones que se ejecutan en App Engine.
Ver la cuenta de servicio predeterminada de App Engine
Para ver tus cuentas de servicio, sigue estos pasos:
En la Google Cloud consola, ve a la página Cuentas de servicio.
Selecciona el proyecto.
En la lista, busca la dirección de correo de la cuenta de servicio predeterminada de App Engine:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
Modificar la cuenta de servicio predeterminada
En función de la configuración de la política de tu organización, es posible que se conceda automáticamente el rol Editor a la cuenta de servicio predeterminada de tu proyecto. Te recomendamos que inhabilites la asignación automática de roles
aplicando la restricción de la política de organización iam.automaticIamGrantsForDefaultServiceAccounts. Si has creado tu organización después del 3 de mayo del 2024, esta restricción se aplica de forma predeterminada.
Si inhabilitas la concesión automática de roles, debes decidir qué roles quieres conceder a las cuentas de servicio predeterminadas y, a continuación, concederlos tú mismo.
Si la cuenta de servicio predeterminada ya tiene el rol Editor, te recomendamos que lo sustituyas por roles con menos permisos.Para modificar los roles de la cuenta de servicio de forma segura, usa Simulador de políticas para ver el impacto del cambio y, a continuación, asigna y revoca los roles adecuados.
Cambiar los permisos de la cuenta de servicio
Puedes usar la Google Cloud consola para conceder o quitar roles de la cuenta de servicio predeterminada. Por ejemplo, puedes reducir los permisos que usa la cuenta de servicio predeterminada de App Engine cambiando su rol de Editor al rol o los roles que mejor representen las necesidades de acceso de tu aplicación de App Engine.
Para modificar los roles de la cuenta de servicio predeterminada de App Engine, sigue estos pasos:
En la consola, ve a la página Gestión de identidades y accesos. Google Cloud
Selecciona el proyecto.
Busca la cuenta de servicio predeterminada de App Engine en la lista de principales. La cuenta de servicio predeterminada de App Engine aparece en la lista si se le han concedido roles de forma automática o manual.
Selecciona el botón de edición para modificar los roles asignados a la cuenta de servicio.
Usar la cuenta de servicio predeterminada
De forma predeterminada, tu aplicación de App Engine usa las credenciales de la cuenta de servicio de App Engine. Para obtener más información, consulta el artículo sobre cómo conceder acceso a los servicios de Cloud a tu aplicación.
Restaurar una cuenta de servicio predeterminada eliminada
Si eliminas la cuenta de servicio predeterminada de App Engine, es posible que tu aplicación de App Engine deje de funcionar y pierda el acceso a otros servicios deGoogle Cloud , como Datastore.
Puedes restaurar las cuentas de servicio predeterminadas de App Engine que se hayan eliminado en los últimos 30 días siguiendo los pasos que se indican en el artículo sobre cómo restaurar una cuenta de servicio.