Une fois que vous avez créé une application App Engine, le compte de service App Engine par défaut est créé et utilisé en tant qu'identité de votre application App Engine. Le compte de service App Engine par défaut est associé à votre projet Google Cloud et exécute des tâches pour le compte de vos applications exécutées dans App Engine.
Afficher le compte de service App Engine par défaut
Pour afficher vos comptes de service, procédez comme suit :
Dans Google Cloud Console, accédez à la page Comptes de service.
Sélectionnez votre projet.
Dans la liste, recherchez l'adresse e-mail du compte de service App Engine par défaut :
YOUR_PROJECT_ID@appspot.gserviceaccount.com
Modifier le compte de service par défaut
Selon la configuration de vos règles d'administration, le compte de service par défaut peut se voir attribuer automatiquement le rôle Éditeur sur votre projet. Nous vous recommandons vivement de désactiver l'attribution automatique des rôles en appliquant la contrainte de règle d'administration iam.automaticIamGrantsForDefaultServiceAccounts. Si vous avez créé votre organisation après le 3 mai 2024, cette contrainte est appliquée par défaut.
Si vous désactivez l'attribution automatique de rôles, vous devez choisir les rôles à attribuer aux comptes de service par défaut, puis attribuer ces rôles vous-même.
Si le compte de service par défaut dispose déjà du rôle Éditeur, nous vous recommandons de le remplacer par des rôles moins permissifs. Pour modifier les rôles du compte de service en toute sécurité, utilisez Policy Simulator pour voir l'impact de la modification, puis attribuez et révoquez les rôles appropriés.
Modifier les autorisations des comptes de service
Vous pouvez attribuer ou supprimer des rôles à partir du compte de service par défaut à l'aide de la console Google Cloud. Par exemple, vous pouvez rétrograder les autorisations utilisées par le compte de service App Engine par défaut en remplaçant son rôle "Éditeur" par le ou les rôles qui correspondent le mieux aux besoins d'accès de votre application App Engine.
Pour modifier les rôles du compte de service App Engine par défaut, procédez comme suit :
Dans la console Google Cloud, accédez à la page IAM.
Sélectionnez votre projet.
Recherchez le compte de service App Engine par défaut dans la liste des comptes principaux. Le compte de service App Engine par défaut apparaît dans la liste si des rôles ont été automatiquement ou manuellement attribués au compte de service.
Cliquez sur le bouton Modifier pour modifier les rôles attribués au compte de service.
Utiliser le compte de service par défaut
Par défaut, votre application App Engine utilise les identifiants du compte de service App Engine. Pour en savoir plus, consultez la section Accorder l'accès aux services cloud à votre application.
Restaurer un compte de service par défaut supprimé
Si vous supprimez votre compte de service par défaut App Engine, votre application App Engine risque de ne plus pouvoir accéder aux autres services Google Cloud, tels que Datastore.
Toutefois, vous pouvez restaurer les comptes de service App Engine par défaut qui ont été supprimés au cours des 30 derniers jours en suivant les étapes d'annulation de la suppression d'un compte de service.