App Engine incluye un agente de servicio llamado agente de servicio del entorno estándar de App Engine. Este agente de servicio permite que tus servicios actúen en tu nombre cuando acceden a otros recursos de Google Cloud. Es esencial mantener el agente de servicio sin modificar.
Ten en cuenta que el agente de servicio no aparece en la página Cuentas de servicio en la consola de Google Cloud y no está relacionada con la cuenta de servicio predeterminada de App Engine.
El agente de servicio para tu proyecto de Google Cloud se crea automáticamente después de implementar el primer servicio, por ejemplo, después de ejecutar el comando gcloud app
deploy
por primera vez para implementar una app en el entorno estándar.
El agente de servicio usa el rol predefinido de IAM Agente de servicio del entorno estándar de App Engine, que incluye un conjunto de permisos necesarios para que App Engine administre tus apps. Este rol se otorga al agente de servicio de forma automática cuando se crea el agente de servicio.
Por ejemplo, los permisos permiten que el proyecto de Google Cloud use la API de Blobstore o un token de acceso que las instancias de App Engine usan para acceder a otros recursos de Google Cloud, como un bucket de Cloud Storage.
Restricciones importantes:
- No revoca las funciones otorgadas al agente de servicio.
- No otorgues el rol de Agente de servicio del entorno estándar de App Engine relacionado con ninguna otra cuenta. Ten en cuenta que los permisos de este rol pueden cambiar sin previo aviso.
Verifica el agente de servicio
Para verificar que el agente de servicio tenga su rol requerido en tu proyecto de Google Cloud, sigue estos pasos:
En la consola de Google Cloud, ve a la página Permisos.
En la esquina superior derecha de la página Permisos, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.
En la lista Principales, busca el agente de servicio con el siguiente ID:
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
.Verifica que el agente de servicio tenga el rol de agente de servicio del entorno estándar de App Engine.
Restablece el rol necesario para el agente de servicio
Si quitas por accidente la vinculación del rol Agente de servicio del entorno estándar de App Engine para el agente de servicio de tu proyecto de Google Cloud, restablécela mediante los siguientes pasos:
En la consola de Google Cloud, ve a la página Permisos.
Haz clic en Agregar.
Ingresa el ID del agente de servicio en el siguiente formato:
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
.Selecciona el rol Agente de servicio del entorno estándar de App Engine.
Haz clic en Guardar.