Cloud Build otomatis memilih akun layanan Cloud Build untuk menjalankan build atas nama Anda, kecuali jika Anda mengganti perilaku ini.
Pada 29 April 2024, kami memperkenalkan perubahan pada perilaku default Cloud Build dan penggunaan akun layanan di project baru. Perubahan ini akan meningkatkan postur keamanan default pelanggan kami ke depannya.
Project baru dan project yang sudah ada yang mengaktifkan Cloud Build API setelah rilis pada 29 April 2024 akan mendapatkan perubahan berikut:
Mulai sekarang, akun layanan Cloud Build akan disebut sebagai akun layanan Cloud Build lama.
Project akan mulai menggunakan akun layanan Compute Engine secara default untuk build yang dikirimkan langsung.
Project harus secara eksplisit menentukan akun layanan saat Anda membuat pemicu baru.
Untuk organisasi, Anda dapat menyesuaikan kebijakan organisasi untuk memilih tidak mengikuti perubahan mendatang.
Perilaku untuk project yang ada dan mengaktifkan Cloud Build API sebelum perubahan diperkenalkan tidak akan berubah.
Apa yang perlu Anda lakukan?
Jika Anda adalah bagian dari organisasi, organisasi dapat memilih untuk tidak mengikuti perubahan ini dengan menetapkan kebijakan organisasi yang baru.
Untuk menjalankan build yang dikirim langsung, jika Anda tidak ingin atau tidak dapat menyesuaikan kebijakan organisasi, validasi bahwa akun layanan default Compute Engine sudah memadai untuk build Anda, atau gunakan akun layanan Anda sendiri. Pada kedua kasus tersebut, pengguna yang mengirimkan build harus memiliki izin iam.serviceAccounts.actAs
di akun layanan.
Untuk membuat pemicu baru, Anda harus menentukan akun layanan secara eksplisit.
Kebijakan organisasi baru
Cloud Build memperkenalkan batasan boolean kebijakan organisasi baru yang mengontrol pembuatan akun layanan Cloud Build lama:
constraints/cloudbuild.disableCreateDefaultServiceAccount
Organisasi yang memilih tidak ikut menerapkan perubahan mendatang, dan yang menyadari kompromi keamanan yang terlibat, dapat melakukannya dengan memperbarui aturan penerapan di Konsol Google Cloud atau di Google Cloud CLI:
Pilih
constraints/cloudbuild.disableCreateDefaultServiceAccount
dan tetapkan opsi Enforcement ke Off di Google Cloud Console, atau
Batasan kebijakan ini akan memengaruhi project yang mengaktifkan Cloud Build API setelah 29 April. Untuk informasi selengkapnya tentang kebijakan organisasi, lihat Pengantar Layanan Kebijakan Organisasi.