Depois de criar um aplicativo do App Engine, a conta de serviço padrão do App Engine é criada e usada como a identidade do aplicativo do App Engine. A conta de serviço padrão do App Engine é associada ao projeto do Google Cloud e executa tarefas em nome dos aplicativos em execução no App Engine.
Como visualizar a conta de serviço padrão do App Engine
Para ver as contas de serviço:
No Console do Google Cloud, acesse a página Contas de serviço.
Selecione o projeto.
Na lista, localize o endereço de e-mail da conta de serviço padrão do App Engine:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
Como modificar a conta de serviço padrão
Dependendo da configuração da política da organização, a conta de serviço padrão pode
receber automaticamente o papel de Editor no
projeto. É altamente recomendável desativar a concessão automática de papéis
aplicando a restrição
da política da organização iam.automaticIamGrantsForDefaultServiceAccounts
. Se você criou a organização após 3 de maio de 2024, essa
restrição será aplicada por padrão.
Se você desativar a concessão automática de papéis, precisará decidir quais papéis conceder às contas de serviço padrão e, em seguida, conceder esses papéis por conta própria.
Se a conta de serviço padrão já tiver o papel de Editor, recomendamos que você o substitua por papéis menos permissivos. Para modificar com segurança os papéis da conta de serviço, use o Simulador de política para ver o impacto da alteração e, em seguida, conceda e revogue os papéis apropriados.
Como alterar as permissões da conta de serviço
É possível usar o console do Google Cloud para conceder ou remover papéis da conta de serviço padrão. Por exemplo, reduzir as permissões usadas pela conta de serviço padrão do App Engine alterando o papel de Editor para qualquer papel que atenda melhor às necessidades de acesso do aplicativo do App Engine.
Para modificar papéis da conta de serviço padrão do App Engine:
No console do Google Cloud, abra a página IAM.
Selecione o projeto.
Localize a conta de serviço padrão do App Engine na lista de principais. A conta de serviço padrão do App Engine aparecerá na lista se os papéis tiverem sido concedidos automática ou manualmente à conta de serviço.
Selecione o botão de edição para modificar os papéis atribuídos à conta de serviço.
Como usar a conta de serviço padrão
Seu aplicativo do App Engine usa as credenciais da conta de serviço do App Engine por padrão. Para mais informações, consulte Como conceder a seu aplicativo acesso aos serviços do Cloud.
Como restaurar uma conta de serviço padrão excluída
Se você excluir a conta de serviço padrão do App Engine, seu aplicativo do App Engine poderá ser interrompido e perder o acesso a outros serviços do Google Cloud, como o Datastore.
É possível restaurar contas de serviço padrão do App Engine que foram excluídas nos últimos 30 dias seguindo as etapas de Como cancelar a exclusão de uma conta de serviço.