Une fois que vous avez créé une application App Engine, le compte de service App Engine par défaut est créé et utilisé en tant qu'identité de votre application App Engine. Le compte de service App Engine par défaut est associé à votre projet Cloud et exécute des tâches pour le compte de vos applications exécutées dans App Engine.
Par défaut, ce compte dispose du rôle "Éditeur" dans le projet. Cela signifie que tout compte utilisateur disposant d'autorisations suffisantes pour déployer des modifications dans le projet Cloud peut aussi exécuter du code et accéder en lecture/écriture à toutes les ressources de ce projet.
Afficher le compte de service App Engine par défaut
Pour afficher vos comptes de service, procédez comme suit :
Dans Google Cloud Console, accédez à la page Comptes de service.
Sélectionnez votre projet.
Dans la liste, recherchez l'adresse e-mail du compte de service App Engine par défaut :
YOUR_PROJECT_ID@appspot.gserviceaccount.com
Modifier le compte de service par défaut
Par défaut, ce compte dispose du rôle "Éditeur" sur le projet. Si vous utilisez une contrainte de règle d'administration pour empêcher que le rôle d'éditeur soit attribué automatiquement, vous devez attribuer des rôles au compte de service App Engine par défaut. Les rôles que vous attribuez au compte de service par défaut doivent permettre à l'application d'accéder aux ressources requises.
Pour savoir comment attribuer des rôles aux comptes de service et à d'autres comptes principaux, consultez la section Gérer l'accès aux comptes de service.
Modifier les autorisations des comptes de service
Vous pouvez attribuer ou supprimer des rôles à partir du compte de service par défaut à l'aide de la console Google Cloud. Par exemple, vous pouvez rétrograder les autorisations utilisées par le compte de service App Engine par défaut en remplaçant son rôle "Éditeur" par le ou les rôles qui correspondent le mieux aux besoins d'accès de votre application App Engine.
Pour modifier les rôles du compte de service App Engine par défaut, procédez comme suit :
Dans la console Google Cloud, accédez à la page IAM.
Sélectionnez votre projet.
Recherchez le compte de service App Engine par défaut dans la liste des comptes principaux. Le compte de service App Engine par défaut apparaît dans la liste si des rôles ont été automatiquement ou manuellement attribués au compte de service.
Cliquez sur le bouton Modifier pour modifier les rôles attribués au compte de service.
Utiliser le compte de service par défaut
Par défaut, votre application App Engine utilise les identifiants du compte de service App Engine. Pour en savoir plus, consultez la section Accorder l'accès aux services cloud à votre application.
Restaurer un compte de service par défaut supprimé
Si vous supprimez votre compte de service par défaut App Engine, votre application App Engine risque de ne plus pouvoir accéder aux autres services Google Cloud, tels que Datastore.
Toutefois, vous pouvez restaurer les comptes de service App Engine par défaut qui ont été supprimés au cours des 30 derniers jours en suivant les étapes d'annulation de la suppression d'un compte de service.