Las apps de App Engine requieren una cuenta de servicio para acceder a otros servicios de Google Cloud y ejecutar tareas. De forma predeterminada, la cuenta de servicio predeterminada de App Engine se usa como la identidad de tu app de App Engine. También puedes especificar una cuenta de servicio administrada por el usuario para que se use como la identidad de una versión específica de la app de App Engine. Esto te permite otorgar privilegios diferentes a cada versión según las tareas específicas que realiza, y evita otorgar más privilegios de los necesarios.
En esta guía, se explica cómo especificar una cuenta de servicio administrada por el usuario cuando se implementa una versión nueva. Si no necesitas crear una cuenta de servicio distinta cuando implementes una versión específica de tu app, puedes seguir usando la cuenta de servicio predeterminada. Para ello, solo no debes especificar una cuenta de servicio.
Crea una cuenta de servicio administrada por el usuario
Para crear una cuenta de servicio administrada por el usuario, consulta estas instrucciones. Cuando definas los roles de Identity and Access Management (IAM) que otorgarás a tu cuenta de servicio, consulta los Roles que otorgan acceso a App Engine.
Si necesitas revisar los conceptos de IAM antes de crear tu cuenta de servicio, consulta las guías de descripción general de conceptos de IAM y de cuentas de servicio.
Especifica una cuenta de servicio cuando implementes tu app
gcloud
Ejecuta el comando gcloud app deploy y especifica la cuenta de servicio:
gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
app.yaml
En el archivo app.yaml, especifica tu cuenta de servicio; para ello, agrega el elemento service_account:
service_account: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
Próximos pasos
Sigue las prácticas recomendadas para trabajar con cuentas de servicio.