App Engine כולל סוכן שירות בשם App Engine standard environment Service Agent. סוכן השירות הזה מאפשר לשירותים שלכם לפעול בשמכם כשניגשים למשאבים אחרים של Google Cloud . חשוב מאוד לא לשנות את סוכן השירות.
שימו לב: סוכן השירות לא מופיע בדף Service Accounts במסוף Google Cloud , ואין לו קשר לחשבון השירות של App Engine שמוגדר כברירת מחדל.
סוכן השירות של פרויקט Google Cloud נוצר באופן אוטומטי אחרי שמפעילים את השירות הראשון – למשל, אחרי שמריצים את הפקודה gcloud app
deploy בפעם הראשונה כדי לפרוס אפליקציה בסביבה הרגילה.
סוכן השירות משתמש בתפקיד ה-IAM המוגדר מראש App Engine standard environment Service Agent, שכולל קבוצה של הרשאות שנדרשות ל-App Engine כדי לנהל את האפליקציות שלכם. התפקיד הזה מוענק לסוכן השירות באופן אוטומטי כשהוא נוצר.
לדוגמה, ההרשאות מאפשרות לפרויקט Google Cloud להשתמש ב-Blobstore API, או לקבל טוקן גישה שהמכונות של App Engine משתמשות בו כדי לגשת למשאבים אחרים של Google Cloud , כמו קטגוריה של Cloud Storage.
הגבלות חשובות:
- אל תבטלו את התפקידים שמוענקים לסוכן השירות.
- אל תעניקו את תפקיד סוכן השירות של סביבת App Engine סטנדרטית לחשבון אחר. שימו לב שההרשאות בתפקיד הזה עשויות להשתנות ללא הודעה מוקדמת.
אימות סוכן השירות
כדי לוודא שלסוכן השירות יש את התפקיד הנדרש בפרויקטGoogle Cloud , פועלים לפי השלבים הבאים:
נכנסים לדף Permissions במסוף Google Cloud .
בפינה השמאלית העליונה של הדף הרשאות, מסמנים את התיבה הכללת מענקי תפקידים שסופקו על ידי Google.
ברשימה Principals, מחפשים את סוכן השירות עם המזהה הבא:
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.מוודאים שלסוכן השירות הוקצה התפקיד App Engine standard environment Service Agent.
שחזור התפקיד הנדרש לסוכן השירות
אם בטעות הסרתם את הקישור של תפקיד סוכן השירות של סביבת App Engine רגילה שנדרש לסוכן השירות מהפרויקט Google Cloud , תוכלו לשחזר אותו באמצעות השלבים הבאים:
נכנסים לדף Permissions במסוף Google Cloud .
לוחצים על הוספה.
מזינים את מזהה סוכן השירות בפורמט הבא:
service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.בוחרים את התפקיד App Engine standard environment Service Agent.
לוחצים על Save.