Neben dem App Engine-Standarddienstkonto enthält die App Engine-Standardumgebung einen Dienst-Agent für die App Engine-Standardumgebung. Mit dem Dienst-Agent kann Ihr Google Cloud-Projekt getrennt von anderen Google Cloud-Diensten mit den Ressourcen Ihrer Anwendung interagieren.
Google erstellt dieses Konto automatisch, wenn Sie die erste Anwendung eines Projekts mithilfe der App Engine-Tools wie dem Befehl gcloud app deploy
in der App Engine-Standardumgebung bereitstellen.
Der Dienst-Agent ist nicht auf der Seite „Dienstkonten“ der Google Cloud Console aufgeführt und unterliegt den folgenden Einschränkungen:
- Widerrufen Sie nicht die Rollen, die dem Dienst-Agent zugewiesen wurden.
- Erteilen Sie keinem anderen Konto die zugehörige Rolle Dienst-Agent für App Engine-Standardumgebung, da die Berechtigungen, die die Rolle beinhaltet, ohne Vorankündigung geändert werden können.
Dienst-Agent für die App Engine-Standardumgebung überprüfen
Führen Sie die folgenden Schritte aus, um zu prüfen, ob der Dienst-Agent in Ihrem Google Cloud-Projekt vorhanden ist:
Öffnen Sie die Google Cloud Console:
Klicken Sie rechts oben auf der Seite Berechtigungen das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen an.
Suchen Sie in der Liste Mitglieder die ID des Dienst-Agents der App Engine-Standardumgebung. Der Dienst-Agent verwendet die Mitglieds-ID
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
.Prüfen Sie, ob dem Dienst-Agent die Rolle Dienst-Agent für App Engine-Standardumgebung zugewiesen wurde.
Dienst-Agent-Rolle
Der Dienst-Agent hat die Rolle Dienst-Agent für App Engine-Standardumgebung. Die Rolle enthält eine Reihe von Berechtigungen, die die Python 2-Standardumgebung zum Verwalten Ihrer Anwendungen in der Standardumgebung benötigt. Beispielsweise zum Durchführen der folgenden Aufgaben:
- Zugriffstoken für App Engine-Instanzen abrufen, um auf andere Google Cloud-Ressourcen wie einen Cloud Storage-Bucket zuzugreifen
- Die Blobstore API aus den gebündelten App Engine-Legacy-Diensten verwenden
Die Rolle "Dienst-Agent für App Engine-Standardumgebung" ist für den Dienst-Agent reserviert. Weisen Sie diese IAM-Rolle keinem anderen Konto zu, da die Berechtigungen, die die Rolle beinhaltet, ohne Vorankündigung geändert werden können.
Gelöschten Dienst-Agent wiederherstellen
Wenn Sie den Dienst-Agent für die App Engine-Standardumgebung versehentlich löschen, können Sie ihn so wiederherstellen:
Öffnen Sie die Google Cloud Console:
Klicken Sie auf Hinzufügen.
Geben Sie die Dienst-Agent-ID im Format
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
ein.Wählen Sie die Rolle Dienst-Agent für App Engine-Standardumgebung aus.
Klicken Sie auf Speichern.