在您创建 App Engine 应用后,系统会创建 App Engine 默认服务账号并将其用作 App Engine 应用的身份。App Engine 默认服务账号与 Google Cloud 项目相关联,并代表您在 App Engine 中运行的应用执行任务。
默认情况下,App Engine 默认服务账号在项目中具有 Editor 角色。这意味着,任何具有足够权限来部署对 Google Cloud 项目的更改的用户账号也可以使用对该项目中的所有资源的读写权限运行代码。
查看 App Engine 默认服务账号
如需查看您的服务账号,请执行以下操作:
在 Google Cloud 控制台中,转到服务账号页面。
选择您的项目。
在列表中,找到 App Engine 默认服务账号的电子邮件地址:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
修改默认服务账号
默认情况下,App Engine 默认服务账号会被授予项目的 Editor 角色。如果使用组织政策限制条件来阻止自动授予 Editor 角色,您必须向 App Engine 默认服务账号授予角色。您向默认服务账号授予的角色需要使应用能够访问其所需的资源。
如需了解如何向服务账号和其他主账号授予角色,请参阅管理对服务账号的访问权限。
更改服务账号权限
您可以使用 Google Cloud 控制台向默认服务账号授予角色或者从默认服务账号移除角色。例如,通过将 App Engine 默认服务账号的角色从 Editor 更改为最适合 App Engine 应用访问需求的任何其他角色,您可以将该账号的权限降级。
要修改 App Engine 默认服务账号的角色,请执行以下操作:
在 Google Cloud 控制台中,前往 IAM 页面。
选择您的项目。
在“主账号”列表中找到 App Engine 默认服务账号。如果角色已自动或手动授予服务账号,则 App Engine 默认服务账号会显示在列表中。
选择修改按钮以修改分配给服务账号的角色。
使用默认服务账号
默认情况下,您的 App Engine 应用会使用 App Engine 服务账号的凭据。如需了解详情,请参阅向您的应用授予对 Cloud 服务的访问权限。
恢复已删除的默认服务账号
如果删除 App Engine 默认服务账号,您的 App Engine 应用可能会出现中断问题,并且将无法访问 Datastore 等其他 Google Cloud 服务。
您可以按照恢复删除的服务账号中的步骤,恢复最近 30 天内删除的 App Engine 默认服务账号。