App Engine-Standarddienstkonto verwenden

Nachdem Sie eine App Engine-Anwendung erstellt haben, wird das App Engine-Standarddienstkonto erstellt und als Identität Ihrer App Engine-Anwendung verwendet. Das App Engine-Standarddienstkonto ist mit Ihrem Google Cloud-Projekt verknüpft und führt Aufgaben im Auftrag Ihrer Anwendungen aus, die in App Engine ausgeführt werden.

App Engine-Standarddienstkonto aufrufen

So rufen Sie Ihre Dienstkonten auf:

  1. Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf:

    Zur Seite „Dienstkonten“

  2. Wählen Sie Ihr Projekt aus.

  3. Suchen Sie in der Liste die E-Mail-Adresse des App Engine-Standarddienstkontos:

    YOUR_PROJECT_ID@appspot.gserviceaccount.com

Standarddienstkonto ändern

Abhängig von der Konfiguration Ihrer Organisationsrichtlinie kann dem Standarddienstkonto für Ihr Projekt automatisch die Rolle "Bearbeiter" zugewiesen werden. Wir empfehlen dringend, die automatische Rollenzuweisung zu deaktivieren, indem Sie die Einschränkung der Organisationsrichtlinien iam.automaticIamGrantsForDefaultServiceAccounts erzwingen. Wenn Sie Ihre Organisation nach dem 3. Mai 2024 erstellt haben, wird diese Einschränkung standardmäßig erzwungen.

Wenn Sie die automatische Rollenzuweisung deaktivieren, müssen Sie entscheiden, welche Rollen den Standarddienstkonten zugeteilt werden sollen, und diese Rollen dann selbst zuweisen.

Wenn das Standarddienstkonto bereits die Rolle "Bearbeiter" hat, sollten Sie die Rolle "Bearbeiter" durch weniger strikte Rollen ersetzen. Verwenden Sie zum sicheren Ändern der Rollen des Dienstkontos Policy Simulator, um die Auswirkungen der Änderung zu sehen, und weisen Sie die entsprechenden Rollen zu und widerrufen Sie sie.

Dienstkontoberechtigungen ändern

Mit der Google Cloud Console können Sie dem Standarddienstkonto Rollen zuweisen oder diese aus dem Konto entfernen. Beispiel: Um die vom App Engine-Standarddienstkonto verwendeten Berechtigungen herunterzustufen, ändern Sie die Rolle „Bearbeiter” in eine andere Rolle, die den Zugriffsanforderungen Ihrer App Engine-Anwendung besser entspricht.

So ändern Sie Rollen für das App Engine-Standarddienstkonto:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Wählen Sie Ihr Projekt aus.

  3. Suchen Sie das App Engine-Standarddienstkonto in der Hauptkontoliste. Das App Engine-Standarddienstkonto wird in der Liste angezeigt, wenn dem Dienstkonto Rollen automatisch oder manuell zugewiesen wurden.

  4. Klicken Sie auf die Schaltfläche „Bearbeiten“, um die dem Dienstkonto zugewiesenen Rollen zu ändern.

Standarddienstkonto verwenden

Ihre App Engine-Anwendung verwendet standardmäßig die Anmeldedaten des App Engine-Dienstkontos. Weitere Informationen finden Sie unter Anwendung Zugriff auf Cloud-Dienste gewähren.

Gelöschtes Standarddienstkonto wiederherstellen

Wenn Sie das Standarddienstkonto von App Engine löschen, funktioniert Ihre App Engine-Anwendung möglicherweise nicht mehr richtig und kann eventuell nicht mehr auf andere Google Cloud-Dienste wie Datastore zugreifen.

Sie können App Engine-Standarddienstkonten wiederherstellen, die innerhalb der letzten 30 Tage gelöscht wurden. Führen Sie dazu die Schritte unter Dienstkonto wiederherstellen aus.

Weitere Informationen zu Dienstkonten