Le app App Engine richiedono un account di servizio per accedere ad altri servizi Google Cloud ed eseguire attività. Per impostazione predefinita, Account di servizio predefinito di App Engine viene utilizzata come identità dell'app App Engine. Puoi anche specificare un diverso servizio gestito dall'utente da usare come account per una specifica versione dell'app App Engine. Ciò consente di concedere diversi privilegi a ciascuna versione, in base alle attività specifiche ed evitare di concedere più privilegi del necessario.
Questa guida spiega come specificare un account di servizio gestito dall'utente diverso quando si esegue il deployment di una nuova versione. Se non devi creare un account di servizio distinto quando esegui il deployment di una versione specifica della tua app, puoi continuare a utilizzare l'account di servizio predefinito non specificando un account di servizio.
Creazione di un account di servizio gestito dall'utente
Per creare un account di servizio gestito dall'utente, consulta queste istruzioni. Durante la definizione dei ruoli IAM (Identity and Access Management) per concedere il servizio account, puoi fare riferimento Ruoli che concedono l'accesso ad App Engine.
Se devi rivedere i concetti IAM prima di creare l'account di servizio, consulta Panoramica dei concetti IAM e gli account di servizio.
Specifica di un account di servizio durante il deployment dell'app
gcloud
Esegui il comando gcloud app deploy e specifica il tuo account di servizio:
gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
appengine-web.xml
Nel file appengine-web.xml, specifica il tuo account di servizio aggiungendo il campo
Elemento <service-account>:
<service-account>SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com</service-account>
Passaggi successivi
Segui le best practice per l'utilizzo degli account di servizio.