Agent de service géré par Google

App Engine inclut un agent de service nommé Agent de service de l'environnement standard App Engine. Cet agent de service permet à vos services d'agir en votre nom lorsqu'ils accèdent à d'autres ressources Google Cloud. Il est essentiel de conserver l'agent de service tel quel.

Notez que l'agent de service n'est pas répertorié sur la page Comptes de service de la console Google Cloud, et n'est pas lié au Compte de service App Engine par défaut.

L'agent de service de votre projet Google Cloud est créé automatiquement après le déploiement de votre premier service, par exemple après la première exécution de la commande gcloud app deploy permettant de déployer une application dans l'environnement standard.

L'agent de service utilise le rôle IAM prédéfini suivant : Agent de service de l'environnement standard App Engine, qui comprend un ensemble d'autorisations requis par App Engine pour gérer vos applications. Ce rôle est attribué automatiquement à l'agent de service lors de sa création.

Par exemple, les autorisations permettent à votre projet Google Cloud d'utiliser l'API Blobstore ou d'obtenir un jeton d'accès que vos instances App Engine utilisent pour accéder à d'autres ressources Google Cloud, telles qu'un bucket Cloud Storage.

Restrictions importantes :

Vérifier l'agent de service

Pour vérifier que l'agent de service dispose du rôle requis dans votre projet Google Cloud, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Autorisations.

    Accéder aux autorisations

  2. Dans l'angle supérieur droit de la page Autorisations, cochez la case Inclure les attributions de rôles fournies par Google.

  3. Dans la liste Comptes principaux, localisez l'agent de service qui utilise l'ID :
    service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.

  4. Vérifiez que l'agent de service a reçu le rôle Agent de service de l'environnement standard App Engine.

Restaurer le rôle requis pour l'agent de service

Si vous supprimez accidentellement la liaison de rôle Agent de service de l'environnement standard App Engine requise pour l'agent de service de votre projet Google Cloud, restaurez-la en procédant comme suit :

  1. Dans la console Google Cloud, accédez à la page Autorisations.

    Accéder aux autorisations

  2. Cliquez sur Ajouter.

  3. Saisissez l'ID de l'agent de service au format suivant :
    service-PROJECT_NUMBER@gcp-gae-service.iam.gserviceaccount.com.

  4. Sélectionnez le rôle Agent de service de l'environnement standard App Engine.

  5. Cliquez sur Enregistrer.