O Cloud Build usa uma conta de serviço padrão para executar builds no seu em nome da empresa. Por exemplo, quando a conta de serviço legada do Cloud Build ela recebe automaticamente a conta de serviço do Cloud Build e o papel dele no projeto. Esse papel concede à conta de serviço permissões realizar várias tarefas, mas você pode conceder mais permissões à conta de serviço tarefas. Nesta página, explicamos como conceder e revogar permissões para conta de serviço padrão do Cloud Build.
Antes de começar
- Entenda os papéis e permissões do Cloud Build.
- Leia Conta de serviço padrão do Cloud Build.
Como atribuir um papel à conta de serviço padrão do Cloud Build usando a página "Configurações"
É possível conceder papéis do IAM usados com frequência ao conta de serviço padrão usando a página "Configurações do Cloud Build" no console do Google Cloud:
Abra a página "Configurações" do Cloud Build:
Abrir a página "Configurações do Cloud Build"
Você verá a página Permissões da conta de serviço:
Use o menu suspenso para selecionar a conta de serviço que você quer atualizar.
Defina o status do papel que você quer adicionar a Ativar.
Como atribuir um papel à conta de serviço padrão do Cloud Build usando a página do IAM
Se o papel que você quer conceder não estiver listado na página "Configurações do Cloud Build" no console do Google Cloud, use a página do IAM para conceder o papel:
Abra a página do IAM:
Selecione seu projeto do Google Cloud.
Acima da tabela de permissões, selecione a Incluir a caixa de seleção de papéis fornecidos pelo Google.
Você verá mais linhas na tabela de permissões.
Na tabela de permissões, encontre sua conta de serviço padrão do Cloud Build.
Clique no ícone de lápis.
Selecione o papel que você quer conceder ao serviço do Cloud Build do Compute Engine.
Clique em Salvar.
Como revogar um papel da conta de serviço do Cloud Build
Abra a página do IAM:
Selecione seu projeto do Google Cloud.
Acima da tabela de permissões, selecione a Incluir a caixa de seleção de papéis fornecidos pelo Google.
Você verá mais linhas na tabela de permissões.
Na tabela de permissões, encontre sua conta de serviço padrão do Cloud Build.
Clique no ícone de lápis.
Localize o papel que você quer revogar e clique na lixeira ao lado do papel.
Como conceder um papel ao agente de serviço do Cloud Build
Além da conta de serviço padrão do Cloud Build,
O Cloud Build tem um agente de serviço do Cloud Build que permite
outros serviços do Google Cloud para acessar seus recursos. Depois de ativar o
API Cloud Build, o agente de serviço é criado automaticamente
projeto do Google Cloud. O agente de serviço tem o seguinte formato, em que PROJECT_NUMBER
é o número do projeto:
service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com
Para exibir o agente de serviço de um projeto, acesse o Página do IAM no console do Google Cloud página e marque a caixa de seleção Mostrar contas de serviço gerenciado do Google.
Se você tiver revogado acidentalmente o papel do agente de serviço do Cloud Build no seu projeto, conceda-o manualmente seguindo estas etapas:
Console
Abra a página IAM no console do Google Cloud:
Clique em Conceder acesso.
Adicione a seguinte conta principal, em que
PROJECT_NUMBERé o número do projeto:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.comSelecione Agentes de serviço > Agente de serviço do Cloud Build como seu papel.
Clique em Save.
gcloud
Conceda o papel roles/cloudbuild.serviceAgent do IAM ao
agente de serviço do Cloud Build:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
--role="roles/cloudbuild.serviceAgent"
Substitua os valores de marcador no comando pelo seguinte:
PROJECT_ID: o ID do projetoPROJECT_NUMBER: o número do projeto
A seguir
- Saiba mais sobre contas de serviço especificadas pelo usuário.
- Saiba mais detalhes sobre as contas de serviço.
- Saiba como configurar o acesso aos recursos do Cloud Build.
- Saiba mais sobre as permissões necessárias para visualizar os registros de versão.