注: Java 8 は、2024 年 1 月 31 日にサポートが終了しました。既存の Java 8 アプリケーションは引き続き実行され、トラフィックを受信します。ただし、サポート終了日を過ぎると、ランタイムを使用するアプリケーションの再デプロイが App Engine によってブロックされることがあります。サポートされている最新バージョンの Java に移行することをおすすめします。

ユーザー管理のサービスアカウントの使用

App Engine アプリが他の Google Cloud サービスにアクセスしてタスクを実行するには、サービスアカウントが必要です。デフォルトでは、App Engine のデフォルトのサービスアカウントが App Engine アプリの ID として使用されます。別のユーザー管理のサービスアカウントを指定し、特定バージョンの App Engine アプリで使用する ID とすることもできます。これにより、各バージョンで実行する特定のタスクに基づいて、バージョンごとに異なる権限を付与できるので、不要な権限の付与を防止できます。

このガイドでは、新しいバージョンをデプロイするときに、それまでとは異なるユーザー管理のサービスアカウントを指定する方法について説明します。特定のバージョンのアプリをデプロイする際に別のサービスアカウントを作成する必要がない場合は、サービスアカウントを指定しないことによって、デフォルトのサービスアカウントを引き続き使用できます。

ユーザー管理のサービスアカウントを作成する

ユーザー管理のサービスアカウントを作成するには、こちらの手順をご覧ください。サービスアカウントに付与する Identity and Access Management（IAM）ロールを定義する場合は、App Engine へのアクセスを許可するロールをご覧ください。

サービスアカウントを作成する前に IAM のコンセプトを確認する必要がある場合は、IAM のコンセプトの概要とサービスアカウントのガイドをご覧ください。

アプリのデプロイ時にサービスアカウントを指定する

gcloudappengine-web.xml

gcloud app deploy コマンドを実行して、サービスアカウントを指定します。

gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

appengine-web.xml ファイルで、<service-account> 要素を追加してサービスアカウントを指定します。

<service-account>SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com</service-account>

次のステップ

サービスアカウントを操作するためのベストプラクティスを実践する。

ユーザー管理のサービス アカウントの使用

ユーザー管理のサービス アカウントを作成する

アプリのデプロイ時にサービス アカウントを指定する

次のステップ

ユーザー管理のサービスアカウントの使用

ユーザー管理のサービスアカウントを作成する

アプリのデプロイ時にサービスアカウントを指定する