Menggunakan akun layanan yang dikelola pengguna

Aplikasi App Engine memerlukan akun layanan agar dapat mengakses layanan Google Cloud lainnya dan menjalankan tugas. Secara default, akun layanan default App Engine digunakan sebagai identitas aplikasi App Engine Anda. Anda juga dapat menentukan akun layanan yang dikelola pengguna yang akan digunakan sebagai identitas untuk versi tertentu dari aplikasi App Engine Anda. Hal ini memungkinkan Anda memberikan hak istimewa yang berbeda untuk setiap versi, berdasarkan tugas tertentu yang dijalankannya, dan menghindari pemberian hak istimewa melebihi yang diperlukan.

Panduan ini membahas cara menentukan akun layanan yang dikelola pengguna saat men-deploy versi baru. Jika Anda tidak perlu membuat akun layanan yang berbeda saat men-deploy versi aplikasi tertentu, Anda dapat terus menggunakan akun layanan default dengan tidak menentukan akun layanan.

Membuat akun layanan yang dikelola pengguna

Untuk membuat akun layanan yang dikelola pengguna, lihat petunjuk ini. Saat menentukan peran Identity and Access Management (IAM) untuk diberikan ke akun layanan, Anda dapat melihat Peran yang Memberikan Akses ke App Engine.

Jika Anda perlu meninjau konsep IAM sebelum membuat akun layanan, lihat panduan Ringkasan konsep IAM dan akun layanan.

Menentukan akun layanan saat men-deploy aplikasi

gcloud

Jalankan perintah gcloud app deploy dan tentukan akun layanan Anda:

gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

app.yaml

Dalam file app.yaml Anda, tentukan akun layanan dengan menambahkan elemen service_account:

service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Langkah berikutnya

Ikuti praktik terbaik untuk menggunakan akun layanan.