Google 代管的服務代理

App Engine 包含名為「App Engine 彈性環境服務代理人」服務代理人。這個服務代理程式可讓服務在存取其他 Google Cloud 資源時,代表您採取行動。請務必保持服務代理程式不受修改。

請注意,服務代理不會列在 Google Cloud 主控台的「Service Accounts」頁面,且與 App Engine 預設服務帳戶無關。

部署第一個服務後, Google Cloud 專案的服務代理程式會自動建立,例如首次執行 gcloud app deploy 指令,在彈性環境中部署應用程式。

服務代理人會使用預先定義的 IAM 角色「App Engine 彈性環境服務代理人」,其中包含 App Engine 管理應用程式所需的一組權限。建立服務代理時,系統會自動將這個角色授予服務代理。

舉例來說,這些權限可讓 Google Cloud 專案取得存取金鑰,供 App Engine 執行個體用來存取其他 Google Cloud 資源,例如 Cloud Storage 值區。

重要限制

驗證服務代理

如要確認服務代理在Google Cloud 專案中具備必要角色,請執行下列步驟:

  1. 前往 Google Cloud 控制台的「Permissions」頁面。

    前往「權限」

  2. 在「權限」頁面的右上角,選取「包含 Google 提供的角色授予」核取方塊。

  3. 在「Principals」清單中,找出 ID 為
    service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com 的服務代理人。

  4. 確認服務代理人是否已獲得 App Engine 彈性環境服務代理人角色。

還原服務代理所需的角色

如果您不慎從 Google Cloud 專案中移除服務代理程式所需的 App Engine 彈性環境服務代理人角色繫結,請按照下列步驟還原:

  1. 前往 Google Cloud 控制台的「Permissions」頁面。

    前往「權限」

  2. 按一下「新增」。

  3. 請按照下列格式輸入服務代理 ID:
    service-PROJECT_NUMBER@gae-api-prod.google.com.iam.gserviceaccount.com

  4. 選取「App Engine 彈性環境服務代理人」角色。

  5. 按一下 [儲存]