Además de la cuenta de servicio predeterminada de App Engine, el entorno estándar de App Engine incluye un agente de servicio del entorno estándar de App Engine. El agente de servicio permite que tu proyecto interactúe con los recursos de tu aplicación por separado de otros servicios. Google Cloud Google Cloud
Google crea automáticamente esta cuenta cuando despliegas la primera aplicación de un proyecto en el entorno estándar de App Engine mediante las herramientas de App Engine, como el comando gcloud app deploy.
El agente de servicio no aparece en la página Cuentas de servicio de la consola Google Cloud y tiene las siguientes restricciones:
- No revoques los roles que se hayan concedido al agente de servicio.
- No concedas el rol de agente de servicio del entorno estándar de App Engine relacionado a ninguna otra cuenta, ya que los permisos que incluye pueden cambiar sin previo aviso.
Verificar el agente de servicio del entorno estándar de App Engine
Para verificar que el agente de servicio existe en tu Google Cloud proyecto, sigue estos pasos:
Abre la Google Cloud consola:
En la esquina superior derecha de la página Permisos, marca la casilla Incluir las concesiones de roles proporcionadas por Google.
En la lista Principales, busca el ID del agente de servicio del entorno estándar de App Engine, que usa el ID
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.Comprueba que se haya concedido al agente de servicio el rol Agente de servicio del entorno estándar de App Engine.
Rol de agente de servicio
El agente de servicio tiene el rol Agente de servicio del entorno estándar de App Engine. El rol incluye un conjunto de permisos que necesita el entorno estándar de Python 2 para gestionar tus aplicaciones del entorno estándar. Por ejemplo, este rol incluye permisos para realizar las siguientes tareas:
- Obtener un token de acceso para instancias de App Engine con el fin de acceder a otros recursos, como un segmento de Cloud Storage. Google Cloud
- Usa la API Blobstore de los servicios agrupados antiguos de App Engine.
El rol Agente de servicio del entorno estándar de App Engine está reservado para el agente de servicio. No concedas este rol de gestión de identidades y accesos a ninguna otra cuenta, ya que los permisos que incluye el rol pueden cambiar sin previo aviso.
Restaurar un agente de servicio eliminado
Si eliminas por error el agente de servicio del entorno estándar de App Engine, restáuralo siguiendo estos pasos:
Abre la Google Cloud consola:
Haz clic en Añadir.
Introduce el ID del agente de servicio con el formato
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.Selecciona el rol Agente de servicio del entorno estándar de App Engine.
Haz clic en Guardar.