Le app App Engine richiedono un account di servizio per accedere ad altri servizi Google Cloud ed eseguire attività. Per impostazione predefinita, viene utilizzato l'account di servizio predefinito di App Engine come identità dell'app App Engine. Puoi anche specificare un account di servizio gestito dall'utente diverso da utilizzare come identità per una versione specifica dell'app di App Engine. In questo modo puoi concedere privilegi diversi a ogni versione, in base alle attività specifiche eseguite, ed evitare di concedere più privilegi del necessario.
Questa guida illustra come specificare un account di servizio gestito dall'utente diverso quando esegui il deployment di una nuova versione. Se non devi creare un account di servizio distinto quando esegui il deployment di una versione specifica dell'app, puoi continuare a utilizzare l'account di servizio predefinito senza specificarne uno.
Creazione di un account di servizio gestito dall'utente
Per creare un account di servizio gestito dall'utente, consulta queste istruzioni. Quando definisci i ruoli di Identity and Access Management (IAM) da concedere al tuo account di servizio, puoi fare riferimento a Ruoli che concedono l'accesso ad App Engine.
Se devi rivedere i concetti IAM prima di creare l'account di servizio, consulta le guide relative alla panoramica dei concetti IAM e agli account di servizio.
Specificare un account di servizio durante il deployment dell'app
gcloud
Esegui il comando gcloud app deploy e specifica il tuo account di servizio:
gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
app.yaml
Nel tuo file app.yaml, specifica il tuo account di servizio aggiungendo l'elemento service_account:
service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Passaggi successivi
Segui le best practice per lavorare con gli account di servizio.