App Engine enthält einen Dienst-Agent mit dem Namen Dienst-Agent für App Engine-Standardumgebung. Mit diesem Dienst-Agent können Ihre Dienste in Ihrem Namen agieren, wenn Sie auf andere Google Cloud-Ressourcen zugreifen. Es ist wichtig, dass der Dienst-Agent unverändert bleibt.
Beachten Sie, dass der von Google verwaltete Dienst-Agent nicht im Dienstkonten Seite in der Google Cloud Console und bezieht sich nicht auf das App Engine-Standarddienstkonto.
Der Dienst-Agent für Ihr Google Cloud-Projekt wird nach der Bereitstellung Ihres ersten Dienstes automatisch erstellt, z. B. nachdem Sie den Befehl gcloud app
deploy
zum ersten Mal ausgeführt haben, um eine Anwendung in der Standardumgebung bereitzustellen.
Der Dienst-Agent verwendet die vordefinierte IAM-Rolle Dienst-Agent der App Engine-Standardumgebung, die eine Reihe von Berechtigungen enthält, die App Engine zum Verwalten Ihrer Anwendungen benötigt. Diese Rolle wird dem Dienst-Agent automatisch zugewiesen, wenn der Dienst-Agent erstellt wird.
Mit den Berechtigungen kann Ihr Google Cloud-Projekt beispielsweise die Blobstore API verwenden oder ein Zugriffstoken abrufen, das von Ihren App Engine-Instanzen für den Zugriff auf andere Google Cloud-Ressourcen wie einen Cloud Storage-Bucket verwendet wird.
Wichtige Einschränkungen:
- Widerrufen Sie nicht die Rollen, die dem Dienst-Agent zugewiesen wurden.
- Weisen Sie die zugehörige Rolle Dienst-Agent für Standard-App Engine-Umgebung keinem anderen Konto zu. Die Berechtigungen in dieser Rolle können ohne Vorankündigung geändert werden.
Dienst-Agent prüfen
So prüfen Sie, ob der Dienst-Agent die erforderliche Rolle in Ihrem Google Cloud-Projekt hat:
Rufen Sie in der Google Cloud Console die Seite Berechtigungen auf.
Klicken Sie rechts oben auf der Seite Berechtigungen das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen an.
Suchen Sie in der Liste Hauptkonten den Dienst-Agent mit der ID
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
Prüfen Sie, ob dem Dienst-Agent die Rolle Dienst-Agent für App Engine-Standardumgebung zugewiesen wurde.
Erforderliche Rolle für den Dienst-Agent wiederherstellen
Wenn Sie versehentlich die erforderliche Rollenbindung des Dienst-Agents für die App Engine-Standardumgebung für den Dienst-Agent aus Ihrem Google Cloud-Projekt entfernen, können Sie sie so wiederherstellen:
Rufen Sie in der Google Cloud Console die Seite Berechtigungen auf.
Klicken Sie auf Hinzufügen.
Geben Sie die Dienst-Agent-ID im folgenden Format ein:
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
.Wählen Sie die Rolle Dienst-Agent für App Engine-Standardumgebung aus.
Klicken Sie auf Speichern.