App Engine include un agente di servizio denominato App Engine ambiente flessibile Service Agent . Questo agente di servizio consente ai tuoi servizi di agire per tuo conto quando accedono ad altre Google Cloud risorse. È essenziale mantenere l'agente di servizio invariato.
Tieni presente che l'agente di servizio non è elencato nella pagina Account di servizio della Google Cloud console e non è correlato al service account predefinito di App Engine.
L'agente di servizio per il tuo Google Cloud progetto viene creato automaticamente dopo il deployment del primo servizio, ad esempio dopo aver eseguito il comando gcloud app
deploy per la prima volta per eseguire il deployment di un'app nell'ambiente flessibile.
L'agente di servizio utilizza il ruolo IAM predefinito App Engine ambiente flessibile Service Agent, che include un insieme di autorizzazioni necessarie ad App Engine per gestire le tue app. Questo ruolo viene concesso automaticamente all'agente di servizio al momento della sua creazione.
Ad esempio, le autorizzazioni consentono al tuo Google Cloud progetto di ottenere un token di accesso utilizzato dalle tue istanze App Engine per accedere ad altre Google Cloud risorse, ad esempio un bucket Cloud Storage.
Restrizioni importanti:
- Non revocare i ruoli concessi all'agente di servizio.
- Non concedere il relativo ruolo Agente di servizio per l'ambiente flessibile di App Engine ad altri account. Tieni presente che le autorizzazioni di questo ruolo possono cambiare senza preavviso.
Verificare l'agente di servizio
Per verificare che l'agente di servizio abbia il ruolo richiesto nel tuo Google Cloud progetto, svolgi i seguenti passaggi:
Nella Google Cloud console, vai alla pagina Autorizzazioni.
Nell'angolo in alto a destra della pagina Autorizzazioni, seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nell'elenco Enti, individua l'agente di servizio con il seguente ID:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Verifica che all'agente di servizio sia stato assegnato il ruolo Agente di servizio dell'ambiente flessibile di App Engine.
Ripristina il ruolo richiesto per l'agente di servizio
Se rimuovi accidentalmente dal progetto Google Cloud il vincolo del ruolo Agente di servizio dell'ambiente flessibile di App Engine obbligatorio per l'agente di servizio, ripristinalo svolgendo i seguenti passaggi:
Nella Google Cloud console, vai alla pagina Autorizzazioni.
Fai clic su Aggiungi.
Inserisci l'ID agente di servizio nel seguente formato:
service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com.Seleziona il ruolo Agente di servizio dell'ambiente flessibile di App Engine.
Fai clic su Salva.