Les applications App Engine nécessitent un compte de service pour pouvoir accéder à d'autres services Google Cloud et exécuter des tâches. Par défaut, le compte de service App Engine par défaut est utilisé en tant qu'identité pour votre application App Engine. Vous pouvez également spécifier un compte de service géré par l'utilisateur différent à utiliser comme identité pour une version spécifique de votre application App Engine. Cela vous permet d'accorder des droits différents à chaque version en fonction des tâches spécifiques qu'elle effectue, et d'éviter d'accorder plus de privilèges que nécessaire.
Ce guide explique comment spécifier un compte de service différent géré par l'utilisateur lors du déploiement d'une nouvelle version. Si vous n'avez pas besoin de créer un compte de service distinct lorsque vous déployez une version spécifique de votre application ; vous pouvez continuer à utiliser le compte de service par défaut en ne spécifiant aucun compte de service.
Créer un compte de service géré par l'utilisateur
Pour créer un compte de service géré par l'utilisateur, consultez ces instructions. Lorsque vous définissez les rôles IAM (Identity and Access Management) à attribuer à votre compte de service, vous pouvez consulter la section Rôles accordant l'accès à App Engine.
Si vous devez passer en revue les concepts IAM avant de créer votre compte de service, consultez les guides Présentation des concepts IAM et Comptes de service.
Spécifier un compte de service lors du déploiement de votre application
gcloud
Exécutez la commande gcloud app deploy
et spécifiez votre compte de service :
gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
app.yaml
Dans votre fichier app.yaml
, spécifiez votre compte de service en ajoutant l'élément service_account
:
service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Étapes suivantes
Suivez les bonnes pratiques d'utilisation des comptes de service.