Después de crear una aplicación de App Engine, se crea la cuenta de servicio predeterminada de App Engine que se usa como la identidad de tu aplicación de App Engine. La cuenta de servicio predeterminada de App Engine está asociada con tu proyecto de Google Cloud y ejecuta tareas en nombre de tus apps que se ejecutan en App Engine.
Ve la cuenta de servicio predeterminada de App Engine
Para ver tus cuentas de servicio, sigue estos pasos:
En la consola de Google Cloud, ve a la página Cuentas de servicio.
Selecciona tu proyecto.
En la lista, busca la dirección de correo electrónico de la cuenta de servicio predeterminada de App Engine:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
Modifica la cuenta de servicio predeterminada
Según la configuración de la política de la organización, es posible que a la cuenta de servicio predeterminada
se le otorgue automáticamente el rol de editor en tu
proyecto. Te recomendamos inhabilitar la concesión automática de roles; para ello,
aplica la restricción de la política de la
organización iam.automaticIamGrantsForDefaultServiceAccounts. Si creaste tu organización después del 3 de mayo de 2024, esta
restricción se aplica de forma predeterminada.
Si inhabilitas la concesión automática de roles, debes decidir qué roles se deben otorgar a las cuentas de servicio predeterminadas y, luego, otorgar estos roles a ti mismo.
Si la cuenta de servicio predeterminada ya tiene el rol de editor, te recomendamos que reemplaces el rol de editor por roles menos permisivos. Para modificar de forma segura los roles de la cuenta de servicio, usa Policy Simulator para ver el impacto del cambio y, luego, otorga y revoca los roles adecuados.
Cambiar permisos de la cuenta de servicio
Puedes usar la consola de Google Cloud para otorgar o quitar roles de la cuenta de servicio predeterminada. Por ejemplo, puedes reducir los permisos que usa la cuenta de servicio predeterminada de App Engine si cambias su rol de Editor al que mejor represente las necesidades de acceso de tu aplicación de App Engine.
Para modificar las funciones de la cuenta de servicio predeterminada de App Engine, sigue estos pasos:
En la consola de Google Cloud, ve a la página IAM.
Selecciona tu proyecto.
Ubica la cuenta de servicio predeterminada de App Engine en la lista Principales. La cuenta de servicio predeterminada de App Engine aparece en la lista si los roles se otorgaron a la cuenta de servicio de forma manual o automática.
Selecciona el botón Editar para modificar los roles asignados a la cuenta de servicio.
Usa la cuenta de servicio predeterminada
Tu aplicación de App Engine usa las credenciales de la cuenta de servicio de App Engine de manera predeterminada. Para obtener más información, consulta cómo otorgarle a tu app acceso a los servicios de Cloud.
Restablece una cuenta de servicio predeterminada borrada
Si borras la cuenta de servicio predeterminada de App Engine, la aplicación de App Engine podría fallar y perder el acceso a otros servicios de Google Cloud, como Datastore.
Para restablecer las cuentas de servicio predeterminadas de App Engine que se borraron en los últimos 30 días, sigue los pasos en Recupera una cuenta de servicio.