L'agente di servizio dell'ambiente standard di App Engine

Oltre all'account di servizio predefinito di App Engine, l'ambiente standard di App Engine include un agente di servizio per l'ambiente standard di App Engine. L'agente di servizio consente al tuo Google Cloud progetto di interagire con le risorse della tua app separatamente da altri Google Cloud servizi.

Google crea automaticamente questo account quando esegui il deployment della prima app di un progetto nell'ambiente standard di App Engine utilizzando gli strumenti di App Engine, come il comando gcloud app deploy.

L'agente di servizio non è elencato nella pagina Account di servizio della Google Cloud console e presenta le seguenti limitazioni:

• Non revocare i ruoli concessi all'agente di servizio.
• Non concedere il ruolo agente di servizio per l'ambiente standard di App Engine a nessun altro account perché le autorizzazioni incluse nel ruolo possono cambiare senza preavviso.

Verifica dell'agente di servizio dell'ambiente standard di App Engine

Per verificare che l'agente di servizio esista nel tuo Google Cloud progetto, svolgi i seguenti passaggi:

1. Apri la Google Cloud console:

   Vai alla pagina Autorizzazioni

2. Nell'angolo in alto a destra della pagina Autorizzazioni, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.

3. Nell'elenco Principali, individua l'ID dell'agente di servizio dell'ambiente standard App Engine, che utilizza l'ID
   service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.

4. Verifica che all'agente di servizio sia stato assegnato il ruolo Agente di servizio per l'ambiente standard di App Engine.

Ruolo Agente di servizio

L'agente di servizio dispone del ruolo Agente di servizio dell'ambiente standard di App Engine. Il ruolo include un insieme di autorizzazioni necessarie per l'ambiente standard PHP 5 per gestire le app dell'ambiente standard. Ad esempio, questo ruolo include le autorizzazioni per eseguire le seguenti attività:

• Ottieni un token di accesso per le istanze App Engine per accedere ad altre Google Cloud risorse, ad esempio un bucket Cloud Storage.
• Utilizza l'API Blobstore dai servizi integrati legacy di App Engine.

Il ruolo Agente di servizio dell'ambiente standard di App Engine è riservato all'agente di servizio. Non concedere questo ruolo IAM a nessun altro account, perché le autorizzazioni incluse nel ruolo possono cambiare senza preavviso.

Ripristino di un agente di servizio eliminato

Se elimini accidentalmente l'agente di servizio ambiente standard App Engine, ripristinalo seguendo questi passaggi:

1. Apri la Google Cloud console:

   Vai alla pagina Autorizzazioni

2. Fai clic su Aggiungi.

3. Inserisci l'ID agente di servizio utilizzando il formato
   service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.

4. Seleziona il ruolo Agente di servizio per l'ambiente standard di App Engine.

5. Fai clic su Salva.