O App Engine inclui um agente de serviço chamado agente de serviço do ambiente padrão do App Engine . Esse agente permite que seus serviços atuem em seu nome ao acessar outros recursos do Google Cloud. É essencial manter o agente de serviço inalterado.
O agente de serviço não está listado na página Contas de serviço do console do Google Cloud e não está relacionado à conta de serviço padrão do App Engine.
O agente de serviço do projeto do Google Cloud é criado automaticamente depois que você
implanta o primeiro serviço, por exemplo, depois de executar o comando gcloud app
deploy
pela primeira vez para implantar um app no ambiente
padrão.
O agente de serviço usa o papel predefinido do IAM chamado agente de serviço do ambiente padrão do App Engine, que inclui um conjunto de permissões necessárias para que o App Engine gerencie seus apps. Esse papel é concedido automaticamente ao agente de serviço quando ele é criado.
Por exemplo, as permissões permitem que o projeto do Google Cloud use a API Blobstore ou receba um token de acesso que as instâncias do App Engine usam para acessar outros recursos do Google Cloud, como um bucket do Cloud Storage. do Google Analytics.
Restrições importantes:
- Não revogar os papéis que são concedidos ao agente de serviço.
- Não conceda o papel de agente de serviço do ambiente padrão do App Engine a qualquer outra conta. As permissões nesse papel podem ser alteradas sem aviso prévio.
Verificar o agente de serviço
Para verificar se o agente de serviço tem o papel necessário no projeto do Google Cloud, execute as seguintes etapas:
No console do Google Cloud, acesse a página Permissões.
No canto superior direito da página Permissões, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Na lista Participantes, localize o agente de serviço com o ID
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
.Verifique se o agente de serviço recebeu o papel agente de serviço do ambiente padrão do App Engine.
Restaurar o papel necessário para o agente de serviço
Se você remover acidentalmente a vinculação do papel agente de serviço do ambiente padrão do App Engine necessária para o agente de serviço do projeto do Google Cloud, restaure-a seguindo as etapas a seguir:
No console do Google Cloud, acesse a página Permissões.
Clique em Adicionar.
Digite o ID do agente de serviço no seguinte formato:
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com
.Selecione o papel Agente de serviço do ambiente padrão do App Engine.
Clique em Salvar.