建立 App Engine 應用程式後,系統隨即產生「App Engine 預設服務帳戶」,並將此帳戶做為 App Engine 應用程式的身分使用。App Engine 預設服務帳戶與您的 Google Cloud 專案相關聯,並且會代表 App Engine 中運作的應用程式執行工作。
查看 App Engine 預設服務帳戶
如要查看服務帳戶,請按照下列步驟操作:
前往 Google Cloud 控制台的「Service accounts」(服務帳戶) 頁面。
選取專案。
在清單中找出 App Engine 預設服務帳戶的電子郵件地址:
YOUR_PROJECT_ID@appspot.gserviceaccount.com
修改預設服務帳戶
視組織政策設定而定,系統可能會自動將專案的編輯者角色授予預設服務帳戶。強烈建議您
強制執行 iam.automaticIamGrantsForDefaultServiceAccounts 機構政策限制,停用自動角色授予功能。如果組織是在 2024 年 5 月 3 日後建立,系統預設會強制執行這項限制。
停用此功能後,您必須決定要將哪些角色授予預設服務帳戶,然後自行授予這些角色。
如果預設服務帳戶已具備「編輯者」角色,建議您將「編輯者」角色替換為權限較少的角色。如要安全修改服務帳戶的角色,請使用 Policy Simulator 查看變更會造成的影響,然後授予及撤銷適當的角色。
變更服務帳戶權限
您可以使用 Google Cloud 控制台,授予或移除預設服務帳戶的角色。舉例來說,您可以變更 App Engine 預設服務帳戶的角色,從「編輯者」改為最符合 App Engine 應用程式存取需求的任何角色,藉此將帳戶使用的權限降級。
如要修改 App Engine 預設服務帳戶的角色,請按照下列步驟操作:
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
選取專案。
在「主體」清單中找出 App Engine 預設服務帳戶。如果系統自動或手動授予服務帳戶角色,App Engine 預設服務帳戶就會顯示在清單中。
選取編輯按鈕,修改指派給服務帳戶的角色。
使用預設服務帳戶
根據預設,App Engine 應用程式會使用 App Engine 服務帳戶的憑證。詳情請參閱「授予應用程式 Cloud 服務存取權」。
還原已刪除的預設服務帳戶
如果刪除 App Engine 預設服務帳戶,App Engine 應用程式可能會停止運作,並喪失 Datastore 等Google Cloud 服務的存取權。
如要還原過去 30 天內刪除的 App Engine 預設服務帳戶,請按照取消刪除服務帳戶一文中的步驟操作。