Como usar a conta de serviço padrão do App Engine

Depois de criar um aplicativo do App Engine, a conta de serviço padrão do App Engine é criada e usada como a identidade do aplicativo do App Engine. A conta de serviço padrão do App Engine é associada ao projeto do Google Cloud e executa tarefas em nome dos aplicativos em execução no App Engine.

Como visualizar a conta de serviço padrão do App Engine

Para ver as contas de serviço:

  1. No Console do Google Cloud, acesse a página Contas de serviço.

    Acessar Contas de serviço

  2. Selecione o projeto.

  3. Na lista, localize o endereço de e-mail da conta de serviço padrão do App Engine:

    YOUR_PROJECT_ID@appspot.gserviceaccount.com

Como modificar a conta de serviço padrão

Dependendo da configuração da política da organização, a conta de serviço padrão pode receber automaticamente o papel de Editor no projeto. É altamente recomendável desativar a concessão automática de papéis aplicando a restrição da política da organização iam.automaticIamGrantsForDefaultServiceAccounts. Se você criou a organização após 3 de maio de 2024, essa restrição será aplicada por padrão.

Se você desativar a concessão automática de papéis, precisará decidir quais papéis conceder às contas de serviço padrão e, em seguida, conceder esses papéis por conta própria.

Se a conta de serviço padrão já tiver o papel de Editor, recomendamos que você o substitua por papéis menos permissivos. Para modificar com segurança os papéis da conta de serviço, use o Simulador de política para ver o impacto da alteração e, em seguida, conceda e revogue os papéis apropriados.

Como alterar as permissões da conta de serviço

É possível usar o console do Google Cloud para conceder ou remover papéis da conta de serviço padrão. Por exemplo, reduzir as permissões usadas pela conta de serviço padrão do App Engine alterando o papel de Editor para qualquer papel que atenda melhor às necessidades de acesso do aplicativo do App Engine.

Para modificar papéis da conta de serviço padrão do App Engine:

  1. No console do Google Cloud, abra a página IAM.

    Acessar IAM

  2. Selecione o projeto.

  3. Localize a conta de serviço padrão do App Engine na lista de principais. A conta de serviço padrão do App Engine aparecerá na lista se os papéis tiverem sido concedidos automática ou manualmente à conta de serviço.

  4. Selecione o botão de edição para modificar os papéis atribuídos à conta de serviço.

Como usar a conta de serviço padrão

Seu aplicativo do App Engine usa as credenciais da conta de serviço do App Engine por padrão. Para mais informações, consulte Como conceder a seu aplicativo acesso aos serviços do Cloud.

Como restaurar uma conta de serviço padrão excluída

Se você excluir a conta de serviço padrão do App Engine, seu aplicativo do App Engine poderá ser interrompido e perder o acesso a outros serviços do Google Cloud, como o Datastore.

É possível restaurar contas de serviço padrão do App Engine que foram excluídas nos últimos 30 dias seguindo as etapas de Como cancelar a exclusão de uma conta de serviço.

Mais informações sobre contas de serviço