使用默认 App Engine 服务帐号

在您创建 App Engine 应用后,系统会创建一个 App Engine 默认服务帐号并将其用作 App Engine 应用的身份。App Engine 默认服务帐号将与您的 Cloud 项目关联,同时代表您在 App Engine 中运行的应用执行任务。

默认情况下,App Engine 默认服务帐号在项目中具有 Editor 角色。这意味着,如果任何用户帐号具有足够权限来部署对 Cloud 项目的更改,那么也可以运行对该项目中的所有资源具有读写权限的代码。

查看 App Engine 默认服务帐号

如需查看您的服务帐号,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到服务帐号页面。

    转到“服务帐号”

  2. 选择您的项目。

  3. 在列表中,找到 App Engine 默认服务帐号的电子邮件地址:

    YOUR_PROJECT_ID@appspot.gserviceaccount.com

修改默认服务帐号

默认情况下,App Engine 默认服务帐号会被授予项目的 Editor 角色。如果使用组织政策限制条件来阻止自动授予 Editor 角色,您必须向 App Engine 默认服务帐号授予角色。您向默认服务帐号授予的角色需要使应用能够访问其所需的资源。

如需了解如何向服务帐号和其他主帐号授予角色,请参阅管理对服务帐号的访问权限

更改服务帐号权限

您可以使用 Google Cloud 控制台向默认服务帐号授予角色或者从默认服务帐号移除角色。例如,通过将 App Engine 默认服务帐号的角色从 Editor 更改为最适合 App Engine 应用访问需求的任何其他角色,您可以将该帐号的权限降级。

要修改 App Engine 默认服务帐号的角色,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往 IAM 页面。

    转到 IAM

  2. 选择您的项目。

  3. 在“主帐号”列表中找到 App Engine 默认服务帐号。如果角色已自动或手动授予服务帐号,则 App Engine 默认服务帐号会显示在列表中。

  4. 选择修改按钮以修改分配给服务帐号的角色。

使用默认服务帐号

默认情况下,您的 App Engine 应用会使用 App Engine 服务帐号的凭据。如需了解详情,请参阅向您的应用授予对 Cloud 服务的访问权限

恢复已删除的默认服务帐号

如果删除 App Engine 默认服务帐号,您的 App Engine 应用可能会出现中断问题,并且将无法访问 Datastore 等其他 Google Cloud 服务。

您可以按照恢复删除的服务帐号中的步骤,恢复最近 30 天内删除的 App Engine 默认服务帐号。

有关服务帐号的更多信息