建立 App Engine 應用程式後,系統隨即產生「App Engine 預設服務帳戶」,並將此帳戶做為 App Engine 應用程式身分使用。App Engine 預設服務帳戶與您的 Google Cloud 專案相關聯,並且會代表 App Engine 中運作的應用程式執行工作。
查看 App Engine 預設服務帳戶
如要查看服務帳戶,請按照下列步驟操作:
前往 Google Cloud 控制台的「Service accounts」(服務帳戶) 頁面。
選取專案。
在清單中找出 App Engine 預設服務帳戶的電子郵件地址:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
修改預設服務帳戶
根據貴機構的政策設定,系統可能會自動為預設服務帳戶授予專案的編輯者角色。強烈建議您
套用 iam.automaticIamGrantsForDefaultServiceAccounts 機構政策限制,停用自動角色授予功能。如果您是在 2024 年 5 月 3 日之後建立機構,系統預設會強制執行這項限制。
如果您停用自動角色授予功能,就必須決定要將哪些角色授予預設服務帳戶,然後自行授予這些角色。
如果預設服務帳戶已具有「編輯者」角色,建議您將「編輯者」角色替換為權限較低的角色。如要安全地修改服務帳戶的角色,請使用政策模擬器查看變更的影響,然後授予及撤銷適當的角色。
變更服務帳戶權限
您可以使用 Google Cloud 控制台,為預設服務帳戶授予或移除角色。例如,您可以變更 App Engine 預設服務帳戶的角色,從「編輯者」改為最符合 App Engine 應用程式存取需求的任何角色,藉此將帳戶使用的權限降級。
如要修改 App Engine 預設服務帳戶的角色,請按照下列步驟操作:
前往 Google Cloud 控制台的「IAM」頁面。
選取專案。
在「Principals」(使用者) 清單中找出 App Engine 預設服務帳戶。如果已自動或手動將角色授予服務帳戶,App Engine 預設服務帳戶就會顯示在清單中。
選取「編輯」按鈕,修改指派給服務帳戶的角色。
使用預設服務帳戶
根據預設,App Engine 應用程式會使用 App Engine 服務帳戶的憑證。詳情請參閱「授予應用程式存取 Cloud 服務的權限」。
復原已刪除的預設服務帳戶
如果刪除 App Engine 預設服務帳戶,App Engine 應用程式可能會停止運作,並喪失 Datastore 等其他Google Cloud 服務的存取權。
您可以按照「取消刪除服務帳戶」一文中的步驟,還原過去 30 天內刪除的 App Engine 預設服務帳戶。