Dienst-Agent für App Engine-Standardumgebung

Neben dem App Engine-Standarddienstkonto enthält die App Engine-Standardumgebung einen Dienst-Agent für die App Engine-Standardumgebung. Mit dem Dienst-Agent kann Ihr Google Cloud-Projekt getrennt von anderen Google Cloud-Diensten mit den Ressourcen Ihrer Anwendung interagieren.

Google erstellt dieses Konto automatisch, wenn Sie die erste Anwendung eines Projekts mithilfe der App Engine-Tools wie dem Befehl gcloud app deploy in der App Engine-Standardumgebung bereitstellen.

Der Dienst-Agent ist nicht auf der Seite „Dienstkonten“ der Google Cloud Console aufgeführt und unterliegt den folgenden Einschränkungen:

  • Widerrufen Sie nicht die Rollen, die dem Dienst-Agent zugewiesen wurden.
  • Erteilen Sie keinem anderen Konto die zugehörige Rolle Dienst-Agent für App Engine-Standardumgebung, da die Berechtigungen, die die Rolle beinhaltet, ohne Vorankündigung geändert werden können.

Dienst-Agent für die App Engine-Standardumgebung überprüfen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob der Dienst-Agent in Ihrem Google Cloud-Projekt vorhanden ist:

  1. Öffnen Sie die Google Cloud Console:

    Zur Seite „Berechtigungen”

  2. Klicken Sie rechts oben auf der Seite Berechtigungen das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen an.

  3. Suchen Sie in der Liste Mitglieder die ID des Dienst-Agents der App Engine-Standardumgebung. Der Dienst-Agent verwendet die Mitglieds-ID
    service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.

  4. Prüfen Sie, ob dem Dienst-Agent die Rolle Dienst-Agent für App Engine-Standardumgebung zugewiesen wurde.

Dienst-Agent-Rolle

Der Dienst-Agent hat die Rolle Dienst-Agent für App Engine-Standardumgebung. Die Rolle enthält eine Reihe von Berechtigungen, die die Python 2-Standardumgebung zum Verwalten Ihrer Anwendungen in der Standardumgebung benötigt. Beispielsweise zum Durchführen der folgenden Aufgaben:

  • Zugriffstoken für App Engine-Instanzen abrufen, um auf andere Google Cloud-Ressourcen wie einen Cloud Storage-Bucket zuzugreifen
  • Die Blobstore API aus den gebündelten App Engine-Legacy-Diensten verwenden

Die Rolle "Dienst-Agent für App Engine-Standardumgebung" ist für den Dienst-Agent reserviert. Weisen Sie diese IAM-Rolle keinem anderen Konto zu, da die Berechtigungen, die die Rolle beinhaltet, ohne Vorankündigung geändert werden können.

Gelöschten Dienst-Agent wiederherstellen

Wenn Sie den Dienst-Agent für die App Engine-Standardumgebung versehentlich löschen, können Sie ihn so wiederherstellen:

  1. Öffnen Sie die Google Cloud Console:

    Zur Seite „Berechtigungen”

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie die Dienst-Agent-ID im Format
    service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com ein.

  4. Wählen Sie die Rolle Dienst-Agent für App Engine-Standardumgebung aus.

  5. Klicken Sie auf Speichern.