デフォルトの App Engine サービス アカウントの使用

App Engine アプリケーションを作成すると、App Engine デフォルト サービス アカウントが作成され、App Engine アプリの ID として使用されます。App Engine のデフォルトのサービス アカウントは、Cloud プロジェクトに関連付けられ、App Engine で実行しているアプリの代わりにタスクを実行します。

デフォルトでは、App Engine のデフォルトのサービス アカウントにはプロジェクトの編集者のロールが付与されています。つまり、Cloud プロジェクトに変更をデプロイするための十分な権限を持つすべてのユーザー アカウントは、プロジェクト内のすべてのリソースに対する読み取り / 書き込みアクセス権を持つコードを実行できます。

App Engine のデフォルトのサービス アカウントの表示

サービス アカウントを表示するには:

  1. コンソールで、[サービス アカウント] ページに移動します。

    [サービス アカウント] に移動

  2. プロジェクトを選択します。

  3. リストで、App Engine のデフォルトのサービス アカウントのメールアドレスを見つけます。

    YOUR_PROJECT_ID@appspot.gserviceaccount.com

デフォルトのサービス アカウントの変更

デフォルトでは、App Engine のデフォルトのサービス アカウントにはプロジェクトの編集者のロールが付与されています。組織のポリシーの制約を使用して編集者ロールが自動的に付与されないようにするには、App Engine のデフォルトのサービス アカウントにロールを付与する必要があります。デフォルトのサービス アカウントに付与するロールでは、アプリが必要なリソースにアクセスできるようにする必要があります。

サービス アカウントや他のプリンシパルにロールを付与する方法については、サービス アカウントに対するアクセス権の管理をご覧ください。

サービス アカウントの権限の変更

コンソールを使用して、デフォルトのサービス アカウントのロールを追加または削除できます。たとえば、App Engine のデフォルトのサービス アカウントを編集者のロールから App Engine アプリのアクセスニーズに最も適するロールに変更することで、その権限をダウングレードできます。

App Engine のデフォルト サービス アカウントのロールを変更するには:

  1. コンソールで [IAM] ページに移動します。

    IAM に移動

  2. プロジェクトを選択します。

  3. [プリンシパル] リストで、App Engine のデフォルトのサービス アカウントを探します。サービス アカウントにロールが自動または手動で付与されている場合は、App Engine のデフォルトのサービス アカウントがリストに表示されます。

  4. 編集ボタンを選択して、サービス アカウントに割り当てられているロールを変更します。

デフォルトのサービス アカウントの使用

App Engine アプリは、デフォルトで App Engine サービス アカウントの認証情報を使用します。詳細については、Cloud サービスへのアクセスのアプリへの付与をご覧ください。

削除されたデフォルトのサービス アカウントの復元

App Engine のデフォルトのサービス アカウントを削除すると、App Engine アプリケーションが破損して、Datastore などの他の Google Cloud サービスにアクセスできなくなる場合があります。

削除されてから 30 日以内の App Engine デフォルト サービス アカウントは、サービス アカウントの削除の取り消しの手順で復元できます。

サービス アカウントの詳細