Dopo aver creato un'applicazione App Engine, viene creato l'account di servizio predefinito di App Engine che viene utilizzato come identità dell'app App Engine. L'account di servizio predefinito di App Engine viene associato al tuo progetto Google Cloud ed esegue attività per conto delle tue app in esecuzione in App Engine.
Per impostazione predefinita, l'account di servizio predefinito di App Engine ha il ruolo Editor nel progetto. Ciò significa che qualsiasi account utente con autorizzazioni sufficienti per eseguire il deployment delle modifiche al progetto Google Cloud può anche eseguire codice con accesso in lettura/scrittura a tutte le risorse all'interno del progetto.
Visualizzazione dell'account di servizio predefinito di App Engine
Per visualizzare i tuoi account di servizio:
Nella console Google Cloud, vai alla pagina Account di servizio.
Seleziona il progetto.
Nell'elenco, individua l'indirizzo email dell'account di servizio predefinito di App Engine:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
Modifica dell'account di servizio predefinito
Per impostazione predefinita, all'account di servizio predefinito App Engine viene concesso il ruolo Editor sul progetto. Se utilizzi un vincolo dei criteri dell'organizzazione per impedire la concessione automatica del ruolo Editor, devi concedere i ruoli all'account di servizio predefinito di App Engine. I ruoli che concedi all'account di servizio predefinito devono consentire all'app di accedere alle risorse necessarie.
Per scoprire come concedere i ruoli agli account di servizio e ad altre entità, consulta Gestire l'accesso agli account di servizio.
Modifica delle autorizzazioni dell'account di servizio
Puoi utilizzare la console Google Cloud per concedere o rimuovere ruoli dall'account di servizio predefinito. Ad esempio, puoi eseguire il downgrade delle autorizzazioni utilizzate dall'account di servizio predefinito di App Engine modificando il ruolo da Editor a qualsiasi ruolo che rappresenti meglio le esigenze di accesso per l'app App Engine.
Per modificare i ruoli per l'account di servizio predefinito di App Engine:
Nella console Google Cloud, vai alla pagina IAM.
Seleziona il progetto.
Individua l'account di servizio predefinito App Engine nell'elenco Entità. L'account di servizio predefinito App Engine viene visualizzato nell'elenco se i ruoli sono stati concessi automaticamente o manualmente all'account di servizio.
Seleziona il pulsante di modifica per modificare i ruoli assegnati all'account di servizio.
Utilizzo dell'account di servizio predefinito
L'app App Engine utilizza le credenziali dell'account di servizio App Engine per impostazione predefinita. Per ulteriori informazioni, vedi Concessione dell'accesso dell'app ai servizi Cloud.
Ripristinare un account di servizio predefinito eliminato
Se elimini l'account di servizio predefinito di App Engine, l'applicazione App Engine potrebbe non riuscire più ad accedere ad altri servizi Google Cloud, come Datastore.
Puoi ripristinare gli account di servizio predefiniti di App Engine eliminati negli ultimi 30 giorni seguendo la procedura per annullare l'eliminazione di un account di servizio.