App Engine アプリケーションを作成すると、App Engine デフォルト サービス アカウントが作成され、App Engine アプリの ID として使用されます。App Engine のデフォルトのサービス アカウントは、Google Cloud プロジェクトに関連付けられ、App Engine で実行しているアプリの代わりにタスクを実行します。
デフォルトでは、App Engine のデフォルトのサービス アカウントにはプロジェクトの編集者のロールが付与されています。このため、Google Cloud プロジェクトへの変更のデプロイに十分な権限を持つユーザー アカウントはすべて、そのプロジェクト内のすべてのリソースに対する読み取り / 書き込みアクセス権を使用してコードを実行できます。
App Engine のデフォルトのサービス アカウントの表示
サービス アカウントを表示するには:
Google Cloud コンソールで、[サービス アカウント] ページに移動します。
プロジェクトを選択します。
リストで、App Engine のデフォルトのサービス アカウントのメールアドレスを見つけます。
YOUR_PROJECT_ID@appspot.gserviceaccount.com
デフォルトのサービス アカウントの変更
デフォルトでは、App Engine のデフォルトのサービス アカウントにはプロジェクトの編集者のロールが付与されています。組織のポリシーの制約を使用して編集者ロールが自動的に付与されないようにするには、App Engine のデフォルトのサービス アカウントにロールを付与する必要があります。デフォルトのサービス アカウントに付与するロールでは、アプリが必要なリソースにアクセスできるようにする必要があります。
サービス アカウントや他のプリンシパルにロールを付与する方法については、サービス アカウントに対するアクセス権の管理をご覧ください。
サービス アカウントの権限の変更
Google Cloud コンソールを使用して、デフォルトのサービス アカウントのロールを追加または削除できます。たとえば、App Engine のデフォルトのサービス アカウントを編集者のロールから App Engine アプリのアクセスニーズに最も適するロールに変更することで、その権限をダウングレードできます。
App Engine のデフォルト サービス アカウントのロールを変更するには:
Google Cloud コンソールの [IAM] ページに移動します。
プロジェクトを選択します。
[プリンシパル] リストで、App Engine のデフォルトのサービス アカウントを探します。サービス アカウントにロールが自動または手動で付与されている場合は、App Engine のデフォルトのサービス アカウントがリストに表示されます。
編集ボタンを選択して、サービス アカウントに割り当てられているロールを変更します。
デフォルトのサービス アカウントの使用
App Engine アプリは、デフォルトで App Engine サービス アカウントの認証情報を使用します。詳細については、Cloud サービスへのアクセスのアプリへの付与をご覧ください。
削除されたデフォルトのサービス アカウントの復元
App Engine のデフォルトのサービス アカウントを削除すると、App Engine アプリケーションが破損して、Datastore などの他の Google Cloud サービスにアクセスできなくなる場合があります。
削除されてから 30 日以内の App Engine デフォルト サービス アカウントは、サービス アカウントの削除の取り消しの手順で復元できます。