在您创建 App Engine 应用后,系统会创建一个 App Engine 默认服务账号并将其用作 App Engine 应用的身份。App Engine 默认服务账号将与您的 Google Cloud 项目关联,同时代表您在 App Engine 中运行的应用执行任务。
查看 App Engine 默认服务账号
如需查看您的服务账号,请执行以下操作:
在 Google Cloud 控制台中,打开服务账号页面。
选择您的项目。
在列表中,找到 App Engine 默认服务账号的电子邮件地址:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
修改默认服务账号
根据您的组织政策配置,默认服务账号可能会自动获得项目的 Editor 角色。我们强烈建议您通过强制执行 iam.automaticIamGrantsForDefaultServiceAccounts 组织政策限制条件来停用自动角色授予功能。如果您的组织是在 2024 年 5 月 3 日之后创建的,则默认情况下会强制执行此限制条件。
如果您停用自动角色授予功能,则必须决定向默认服务账号授予哪些角色,然后自行授予这些角色。
如果默认服务账号已具有 Editor 角色,我们建议您将 Editor 角色替换为权限较少的角色。如需安全地修改服务账号的角色,请使用 Policy Simulator 查看更改的影响,然后授予和撤消相应的角色。
更改服务账号权限
您可以使用 Google Cloud 控制台向默认服务账号授予角色或者从默认服务账号移除角色。例如,通过将 App Engine 默认服务账号的角色从 Editor 更改为最适合 App Engine 应用访问需求的任何其他角色,您可以将该账号的权限降级。
要修改 App Engine 默认服务账号的角色,请执行以下操作:
在 Google Cloud 控制台中,前往 IAM 页面。
选择您的项目。
在“主账号”列表中找到 App Engine 默认服务账号。如果角色已自动或手动授予服务账号,则 App Engine 默认服务账号会显示在列表中。
选择修改按钮以修改分配给服务账号的角色。
使用默认服务账号
默认情况下,您的 App Engine 应用会使用 App Engine 服务账号的凭据。如需了解详情,请参阅向您的应用授予对 Cloud 服务的访问权限。
恢复已删除的默认服务账号
如果删除 App Engine 默认服务账号,您的 App Engine 应用可能会出现中断问题,并且将无法访问 Datastore 等其他Google Cloud 服务。
您可以按照恢复删除的服务账号中的步骤,恢复最近 30 天内删除的 App Engine 默认服务账号。