Die App Engine enthält einen Dienst-Agenten mit dem Namen Dienst-Agent für flexible App Engine-Umgebung. Mit diesem Dienst-Agent können Ihre Dienste in Ihrem Namen agieren, wenn Sie auf andere Google Cloud-Ressourcen zugreifen. Der Dienst-Agent darf nicht verändert werden.
Beachten Sie, dass der Dienst-Agent nicht im Dienstkonten Seite in der Google Cloud Console und bezieht sich nicht auf das App Engine-Standarddienstkonto.
Der Dienst-Agent für Ihr Google Cloud-Projekt wird nach der Bereitstellung Ihres ersten Dienstes automatisch erstellt, z. B. nachdem Sie den Befehl gcloud app
deploy
zum ersten Mal ausgeführt haben, um eine Anwendung in der flexiblen Umgebung bereitzustellen.
Der Dienst-Agent verwendet die vordefinierte IAM-Rolle Dienst-Agent der flexiblen App Engine-Umgebung, die eine Reihe von Berechtigungen enthält, die App Engine zum Verwalten Ihrer Anwendungen benötigt. Diese Rolle wird dem Dienst-Agenten automatisch zugewiesen, wenn er erstellt wird.
Mit den Berechtigungen kann Ihr Google Cloud-Projekt beispielsweise ein Zugriffstoken abrufen, das Ihre App Engine-Instanzen für den Zugriff auf andere Google Cloud-Ressourcen wie einen Cloud Storage-Bucket verwenden.
Wichtige Einschränkungen:
- Widerrufen Sie nicht die Rollen, die dem Dienst-Agent zugewiesen wurden.
- Weisen Sie die zugehörige Rolle Dienst-Agent für flexible App Engine-Umgebung keinem anderen Konto zu. Die Berechtigungen in dieser Rolle können ohne Vorankündigung geändert werden.
Dienst-Agent prüfen
So prüfen Sie, ob der Dienst-Agent in Ihrem Google Cloud-Projekt die erforderliche Rolle hat:
Rufen Sie in der Google Cloud Console die Seite Berechtigungen auf.
Klicken Sie rechts oben auf der Seite Berechtigungen das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen an.
Suchen Sie in der Liste Hauptkonten den Dienst-Agent mit der ID
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
Prüfen Sie, ob dem Dienst-Agent die Rolle Dienst-Agent für flexible App Engine-Umgebung zugewiesen wurde.
Erforderliche Rolle für den Dienst-Agenten wiederherstellen
Wenn Sie versehentlich die erforderliche Rollenbindung des Dienst-Agents für die flexible App Engine-Umgebung für den Dienst-Agent aus Ihrem Google Cloud-Projekt entfernen, können Sie sie so wiederherstellen:
Rufen Sie in der Google Cloud Console die Seite Berechtigungen auf.
Klicken Sie auf Hinzufügen.
Geben Sie die Dienst-Agent-ID im folgenden Format ein:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com
.Wählen Sie die Rolle Dienst-Agent für flexible App Engine-Umgebung aus.
Klicken Sie auf Speichern.