Aplikasi App Engine memerlukan akun layanan agar dapat mengakses layanan Google Cloud lainnya dan menjalankan tugas. Secara default, akun layanan default App Engine digunakan sebagai identitas aplikasi App Engine Anda. Anda juga dapat menentukan akun layanan yang dikelola pengguna yang akan digunakan sebagai identitas untuk versi tertentu dari aplikasi App Engine Anda. Hal ini memungkinkan Anda memberikan hak istimewa yang berbeda untuk setiap versi, berdasarkan tugas tertentu yang dijalankannya, dan menghindari pemberian hak istimewa melebihi yang diperlukan.
Panduan ini membahas cara menentukan akun layanan yang dikelola pengguna saat men-deploy versi baru. Jika Anda tidak perlu membuat akun layanan yang berbeda saat men-deploy versi aplikasi tertentu, Anda dapat terus menggunakan akun layanan default dengan tidak menentukan akun layanan.
Membuat akun layanan yang dikelola pengguna
Untuk membuat akun layanan yang dikelola pengguna, lihat petunjuk ini. Saat menentukan peran Identity and Access Management (IAM) untuk diberikan ke akun layanan, Anda dapat melihat Peran yang Memberikan Akses ke App Engine.
Jika Anda perlu meninjau konsep IAM sebelum membuat akun layanan, lihat panduan Ringkasan konsep IAM dan akun layanan.
Menentukan akun layanan saat men-deploy aplikasi
gcloud
Jalankan perintah gcloud app deploy
dan tentukan akun layanan Anda:
gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
app.yaml
Dalam file
app.yaml
Anda, tentukan akun layanan dengan menambahkan elemen
service_account
:
service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Langkah berikutnya
Ikuti praktik terbaik untuk menggunakan akun layanan.