App Engine incluye un agente de servicio llamado Agente de servicio de entorno flexible de App Engine . Este agente de servicio permite que tus servicios actúen en tu nombre al acceder a otros recursos de Google Cloud . Es fundamental que el agente de servicio no se modifique.
Ten en cuenta que el agente de servicio no aparece en la página Cuentas de servicio de la consola de Google Cloud y no está relacionado con la cuenta de servicio predeterminada de App Engine.
El agente de servicio de tu Google Cloud proyecto se crea automáticamente después de que despliegues tu primer servicio. Por ejemplo, después de ejecutar el comando gcloud app
deploy por primera vez para desplegar una aplicación en el entorno flexible.
El agente de servicio usa el rol de gestión de identidades y accesos predefinido Agente de servicio de entorno flexible de App Engine, que incluye un conjunto de permisos que necesita App Engine para gestionar tus aplicaciones. Este rol se asigna automáticamente al agente de servicio cuando se crea.
Por ejemplo, los permisos permiten que tu proyecto de Google Cloud obtenga un token de acceso que tus instancias de App Engine usen para acceder a otros recursos de Google Cloud , como un segmento de Cloud Storage.
Restricciones importantes:
- No revoques los roles que se hayan concedido al agente de servicio.
- No asignes el rol Agente de servicio de entorno flexible de App Engine a ninguna otra cuenta. Ten en cuenta que los permisos de este rol pueden cambiar sin previo aviso.
Verificar el agente de servicio
Para verificar que el agente de servicio tiene el rol necesario en tu proyectoGoogle Cloud , sigue estos pasos:
En la Google Cloud consola, ve a la página Permisos.
En la esquina superior derecha de la página Permisos, marca la casilla Incluir las concesiones de roles proporcionadas por Google.
En la lista Principales, busca el agente de servicio con el siguiente ID:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Comprueba que se haya concedido al agente de servicio el rol Agente de servicio de entorno flexible de App Engine.
Restaurar el rol necesario para el agente de servicio
Si eliminas por error el rol Agente de servicio de entorno flexible de App Engine obligatorio de tu proyecto Google Cloud , restáuralo siguiendo estos pasos:
En la Google Cloud consola, ve a la página Permisos.
Haz clic en Añadir.
Introduce el ID del agente de servicio con el siguiente formato:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Selecciona el rol Agente de servicio de entorno flexible de App Engine.
Haz clic en Guardar.