Menggunakan akun layanan yang dikelola pengguna

Aplikasi App Engine memerlukan akun layanan agar dapat mengakses layanan Google Cloud lainnya dan menjalankan tugas. Secara default, akun layanan default App Engine digunakan sebagai identitas aplikasi App Engine Anda. Anda juga dapat menentukan akun layanan yang dikelola pengguna yang berbeda untuk digunakan sebagai identitas bagi versi tertentu dari aplikasi App Engine Anda. Dengan begitu, Anda dapat memberikan hak istimewa yang berbeda untuk setiap versi, berdasarkan tugas spesifik yang dijalankannya, dan menghindari pemberian hak istimewa yang lebih dari yang diperlukan.

Panduan ini membahas cara menentukan akun layanan yang dikelola pengguna yang berbeda saat men-deploy versi baru. Jika Anda tidak perlu membuat akun layanan yang berbeda saat men-deploy versi aplikasi tertentu, Anda dapat terus menggunakan akun layanan default dengan tidak menentukan akun layanan.

Membuat akun layanan yang dikelola pengguna

Untuk membuat akun layanan yang dikelola pengguna, lihat petunjuk ini. Saat menentukan peran Identity and Access Management (IAM) untuk diberikan ke akun layanan, Anda dapat melihat Peran yang Memberikan Akses ke App Engine.

Jika Anda perlu meninjau konsep IAM sebelum membuat akun layanan, lihat panduan Ringkasan konsep IAM dan akun layanan.

Setelah membuat akun layanan yang dikelola pengguna, Anda dapat memperbarui akun layanan default tingkat aplikasi untuk aplikasi dengan menggunakan salah satu metode berikut:

gcloud

Jalankan perintah gcloud app update.

    gcloud app update --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Replace:

  • SERVICE_ACCOUNT_NAME dengan nama akun layanan yang Anda buat.
  • PROJECT_ID dengan ID project Google Cloud tempat Anda ingin menetapkan akun layanan.

Setiap versi baru yang Anda deploy setelah pembaruan ini akan menggunakan akun layanan default tingkat aplikasi baru, kecuali jika Anda secara eksplisit menetapkan akun layanan khusus versi.

Konsol

  1. Buka tab Setelan Aplikasi App Engine di konsol dan klik Edit Setelan Aplikasi.

    Buka Setelan Aplikasi

  2. Pilih akun layanan default tingkat aplikasi dari Pilih akun layanan, lalu klik Simpan.

    Anda akan dialihkan ke tab Setelan Aplikasi tempat Anda dapat melihat alamat email akun layanan default level aplikasi yang telah diupdate. Contoh: SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.

    Setiap versi baru yang Anda deploy setelah pembaruan ini akan menggunakan akun layanan default tingkat aplikasi baru, kecuali jika Anda secara eksplisit menetapkan akun layanan khusus versi.

Menentukan akun layanan saat men-deploy aplikasi Anda

gcloud

Jalankan perintah gcloud app deploy dan tentukan akun layanan Anda:

gcloud app deploy --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

appengine-web.xml

Di file appengine-web.xml, tentukan akun layanan dengan menambahkan elemen <service-account>:

<service-account>SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com</service-account>

Langkah berikutnya

Ikuti praktik terbaik untuk menggunakan akun layanan.