App Engine アプリケーションを作成すると、App Engine のデフォルト サービス アカウントが作成され、App Engine アプリの ID として使用されます。App Engine のデフォルト サービス アカウントは、Google Cloud プロジェクトに関連付けられ、App Engine で実行しているアプリの代わりにタスクを実行します。
App Engine のデフォルトのサービス アカウントの表示
サービス アカウントを表示するには:
Google Cloud コンソールで、[サービス アカウント] ページに移動します。
プロジェクトを選択します。
リストで、App Engine のデフォルトのサービス アカウントのメールアドレスを見つけます。
YOUR_PROJECT_ID@appspot.gserviceaccount.com
デフォルトのサービス アカウントの変更
組織のポリシー構成によっては、デフォルトのサービス アカウントにプロジェクトの編集者のロールが自動的に付与される場合があります。iam.automaticIamGrantsForDefaultServiceAccounts 組織ポリシー制約を適用して、自動的なロール付与を無効にすることを強くおすすめします。2024 年 5 月 3 日以降に組織を作成した場合、この制約はデフォルトで適用されます。
自動ロール付与を無効にする場合、デフォルトのサービス アカウントに付与するロールを決定し、これらのロールを付与する必要があります。
デフォルトのサービス アカウントにすでに編集者ロールが設定されている場合は、編集者ロールを権限の低いロールに置き換えることをおすすめします。サービス アカウントのロールを安全に変更するには、Policy Simulator を使用して変更の影響を確認したうえで、該当のロールを付与するか取り消します。
サービス アカウントの権限の変更
Google Cloud コンソールを使用して、デフォルトのサービス アカウントのロールを追加または削除できます。たとえば、App Engine のデフォルトのサービス アカウントを編集者のロールから App Engine アプリのアクセスニーズに最も適するロールに変更することで、その権限をダウングレードできます。
App Engine のデフォルト サービス アカウントのロールを変更するには:
Google Cloud コンソールの [IAM] ページに移動します。
プロジェクトを選択します。
[プリンシパル] リストで、App Engine のデフォルトのサービス アカウントを探します。サービス アカウントにロールが自動または手動で付与されている場合は、App Engine のデフォルトのサービス アカウントがリストに表示されます。
編集ボタンを選択して、サービス アカウントに割り当てられているロールを変更します。
デフォルトのサービス アカウントの使用
App Engine アプリは、デフォルトで App Engine サービス アカウントの認証情報を使用します。詳細については、Cloud サービスへのアクセスのアプリへの付与をご覧ください。
削除されたデフォルトのサービス アカウントの復元
App Engine のデフォルトのサービス アカウントを削除すると、App Engine アプリケーションが破損して、Datastore などの他の Google Cloud サービスにアクセスできなくなる場合があります。
削除されてから 30 日以内の App Engine デフォルト サービス アカウントは、サービス アカウントの削除の取り消しの手順で復元できます。