デフォルトの App Engine サービス アカウントの使用

App Engine アプリケーションを作成すると、App Engine デフォルト サービス アカウントが作成され、App Engine アプリの ID として使用されます。App Engine デフォルト サービス アカウントは、Cloud プロジェクトに関連付けられ、App Engine で実行しているアプリの代わりにタスクを実行します。

デフォルトでは、App Engine のデフォルトのサービス アカウントにはプロジェクトの編集者のロールが付与されています。つまり、Cloud プロジェクトに変更をデプロイするための十分な権限を持つすべてのユーザー アカウントは、プロジェクト内のすべてのリソースに対する読み取り / 書き込みアクセス権を持つコードを実行できます。

サービス アカウントの権限の変更

サービス アカウントの権限は、Cloud Console で変更できます。たとえば、App Engine のデフォルトのサービス アカウントを編集者の役割から App Engine アプリケーションのアクセスニーズに最も適する役割に変更することで、その権限をダウングレードできます。

サービス アカウントの権限を変更するには:

  1. Cloud Console を開きます。

    [権限] ページに移動

  2. [プリンシパル] リストで、App Engine のデフォルトのサービス アカウントの ID を見つけます。

    App Engine のデフォルトのサービス アカウントは、次の ID を使用しています。
    YOUR_PROJECT_ID@appspot.gserviceaccount.com

  3. プルダウン メニューを使用して、サービス アカウントに割り当てられている役割を変更できます。

デフォルトのサービス アカウントの使用

App Engine アプリは、デフォルトで App Engine サービス アカウントの認証情報を使用します。詳細については、Cloud サービスへのアクセスのアプリへの付与をご覧ください。

削除されたデフォルトのサービス アカウントの復元

App Engine のデフォルトのサービス アカウントを削除すると、App Engine アプリケーションが破損して、Datastore などの他の Google Cloud サービスにアクセスできなくなる場合があります。

削除されてから 30 日以内の App Engine デフォルト サービス アカウントは、サービス アカウントの削除の取り消しの手順で復元できます。

サービス アカウントの詳細