Menggunakan akun layanan yang dikelola pengguna

Aplikasi App Engine memerlukan akun layanan agar dapat mengakses layanan Google Cloud lainnya dan menjalankan tugas. Secara default, akun layanan default App Engine digunakan sebagai identitas aplikasi App Engine Anda. Anda juga dapat menentukan akun layanan yang dikelola pengguna yang berbeda untuk digunakan sebagai identitas untuk versi aplikasi App Engine tertentu. Hal ini memungkinkan Anda memberikan hak istimewa yang berbeda untuk setiap versi, berdasarkan tugas spesifik yang dijalankannya, dan menghindari pemberian hak istimewa yang lebih dari yang diperlukan.

Panduan ini membahas cara menentukan akun layanan yang dikelola pengguna yang berbeda saat men-deploy versi baru. Jika Anda tidak perlu membuat akun layanan yang berbeda saat men-deploy versi aplikasi tertentu, Anda dapat terus menggunakan akun layanan default dengan tidak menentukan akun layanan.

Membuat akun layanan yang dikelola pengguna

Untuk membuat akun layanan yang dikelola pengguna, lihat petunjuk ini. Saat menentukan peran Identity and Access Management (IAM) untuk diberikan ke akun layanan, Anda dapat melihat Peran yang Memberikan Akses ke App Engine.

Jika Anda perlu meninjau konsep IAM sebelum membuat akun layanan, lihat panduan Ringkasan konsep IAM dan akun layanan.

Menentukan akun layanan saat men-deploy aplikasi

gcloud

Jalankan perintah gcloud app deploy dan tentukan akun layanan Anda:

gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

app.yaml

Dalam file app.yaml Anda, tentukan akun layanan dengan menambahkan elemen service_account:

service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Langkah berikutnya

Ikuti praktik terbaik untuk menggunakan akun layanan.