Dopo aver creato un'applicazione App Engine, l'account di servizio predefinito di App Engine viene creato e utilizzato come identità dell'app App Engine. L'account di servizio predefinito di App Engine viene associato al progetto Google Cloud ed esegue le attività per conto delle app in esecuzione in App Engine.
Visualizzazione dell'account di servizio predefinito di App Engine
Per visualizzare gli account di servizio:
Nella console Google Cloud, vai alla pagina Account di servizio.
Seleziona il progetto.
Nell'elenco, individua l'indirizzo email dell'account di servizio predefinito di App Engine:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
Modifica dell'account di servizio predefinito
A seconda della configurazione dei criteri dell'organizzazione, all'account di servizio predefinito potrebbe essere concesso automaticamente il ruolo Editor per il progetto. Ti consigliamo vivamente di disabilitare la concessione automatica del ruolo
applicando il vincolo iam.automaticIamGrantsForDefaultServiceAccounts del criterio dell'organizzazione. Se hai creato la tua organizzazione dopo il 3 maggio 2024, questo vincolo viene applicato per impostazione predefinita.
Se disabiliti la concessione automatica dei ruoli, devi decidere quali ruoli concedere agli account di servizio predefiniti e poi concedere questi ruoli autonomamente.
Se l'account di servizio predefinito ha già il ruolo Editor, ti consigliamo di sostituire quest'ultimo con ruoli meno permissivi. Per modificare in modo sicuro i ruoli dell'account di servizio, utilizza il Simulatore di criteri per vedere l'impatto della modifica, quindi concedi e revoca i ruoli appropriati.
Modifica delle autorizzazioni dell'account di servizio
Puoi utilizzare la console Google Cloud per concedere o rimuovere ruoli dall'account di servizio predefinito. Ad esempio, puoi eseguire il downgrade delle autorizzazioni utilizzate dall'account di servizio predefinito di App Engine modificando il ruolo da Editor al ruolo o ai ruoli che meglio rappresentano le esigenze di accesso per la tua app di App Engine.
Per modificare i ruoli per l'account di servizio predefinito di App Engine:
Nella console Google Cloud, vai alla pagina IAM.
Seleziona il progetto.
Individua l'account di servizio predefinito di App Engine nell'elenco Entità. L'account di servizio predefinito di App Engine viene visualizzato nell'elenco se i ruoli sono stati concessi automaticamente o manualmente all'account di servizio.
Seleziona il pulsante Modifica per modificare i ruoli assegnati all'account di servizio.
Utilizzo dell'account di servizio predefinito
L'app App Engine utilizza le credenziali dell'account di servizio App Engine per impostazione predefinita. Per ulteriori informazioni, vedi Concedere all'app l'accesso ai servizi cloud.
Ripristino di un account di servizio predefinito eliminato
Se elimini l'account di servizio predefinito di App Engine, l'applicazione di App Engine potrebbe interrompere e perdere l'accesso ad altri servizi Google Cloud, come Datastore.
Puoi ripristinare gli account di servizio predefiniti di App Engine che sono stati eliminati negli ultimi 30 giorni seguendo la procedura per annullare l'eliminazione di un account di servizio.