Usa cuentas de servicio administradas por el usuario

Las apps de App Engine requieren una cuenta de servicio para acceder a otros servicios de Google Cloud y ejecutar tareas. De forma predeterminada, la cuenta de servicio predeterminada de App Engine se usa como la identidad de tu app de App Engine. También puedes especificar una cuenta de servicio administrada por el usuario diferente para que se use como la identidad de una versión específica de la app de App Engine. Esto te permite otorgar privilegios diferentes a cada versión según las tareas específicas que realiza y evita otorgar más privilegios de los necesarios.

En esta guía, se explica cómo especificar una cuenta de servicio administrada por el usuario diferente cuando se implementa una versión nueva. Si no necesitas crear una cuenta de servicio distinta cuando implementes una versión específica de tu app, puedes seguir usando la cuenta de servicio predeterminada; para ello, solo no debes especificar una cuenta de servicio.

Crea una cuenta de servicio administrada por el usuario

Para crear una cuenta de servicio administrada por el usuario, consulta estas instrucciones. Cuando definas los roles de Identity and Access Management (IAM) que otorgarás a tu cuenta de servicio, consulta los Roles que otorgan acceso a App Engine.

Si necesitas revisar los conceptos de IAM antes de crear tu cuenta de servicio, consulta las guías de descripción general de conceptos de IAM y de cuentas de servicio.

Especifica una cuenta de servicio cuando implementes tu app

gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

<service-account>SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com</service-account>

Próximos pasos

Sigue las prácticas recomendadas para trabajar con cuentas de servicio.