Nutzerverwaltete Dienstkonten verwenden

App Engine-Anwendungen benötigen ein Dienstkonto, um auf andere Google Cloud-Dienste zugreifen und Aufgaben ausführen zu können. Standardmäßig wird das App Engine-Standarddienstkonto als Identität Ihrer App Engine-Anwendung verwendet. Sie können auch ein anderes nutzerverwaltetes Dienstkonto angeben, das als Identität für eine bestimmte Version Ihrer App Engine-Anwendung verwendet werden soll. Auf diese Weise können Sie jeder Version unterschiedliche Rechte gewähren, basierend auf den spezifischen Aufgaben, die sie ausführt, und vermeiden, mehr Rechte als nötig zu gewähren.

In dieser Anleitung wird beschrieben, wie Sie ein anderes nutzerverwaltetes Dienstkonto angeben, wenn Sie eine neue Version bereitstellen. Wenn Sie beim Bereitstellen einer bestimmten Version Ihrer Anwendung kein eigenes Dienstkonto erstellen möchten, können Sie das Standarddienstkonto ohne Angabe eines Dienstkontos verwenden.

Nutzerverwaltetes Dienstkonto erstellen

Informationen zum Erstellen eines nutzerverwalteten Dienstkontos finden Sie in dieser Anleitung. Wenn Sie IAM-Rollen (Identity and Access Management) definieren, die Ihrem Dienstkonto zugewiesen werden sollen, finden Sie weitere Informationen unter Rollen mit Zugriffsberechtigung für App Engine.

Wenn Sie IAM-Konzepte prüfen möchten, bevor Sie Ihr Dienstkonto erstellen, lesen Sie die Übersicht über IAM-Konzepte und Dienstkonten.

Dienstkonto beim Bereitstellen der Anwendung angeben

gcloudappengine-web.xml

Führen Sie den Befehl gcloud app deploy aus und geben Sie Ihr Dienstkonto an:

gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Geben Sie in der Datei appengine-web.xml das Dienstkonto an, indem Sie das Element <service-account> hinzufügen:

<service-account>SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com</service-account>

Nächste Schritte

Folgen Sie den Best Practices für die Arbeit mit Dienstkonten.