Cloud Build selecciona de forma automática la cuenta de servicio de Cloud Build para ejecutar compilaciones en tu nombre, a menos que anules este comportamiento.
El 29 de abril de 2024, presentaremos cambios en el comportamiento predeterminado y el uso de cuentas de servicio de Cloud Build en proyectos nuevos. Estos cambios mejorarán la postura de seguridad predeterminada de nuestros clientes en el futuro.
Los proyectos nuevos y existentes que habiliten la API de Cloud Build después de la versión del 29 de abril de 2024 verán los siguientes cambios:
A partir de ahora, la cuenta de servicio de Cloud Build se denominará la cuenta de servicio heredada de Cloud Build.
Los proyectos comenzarán a usar la cuenta de servicio de Compute Engine de forma predeterminada para las compilaciones enviadas directamente.
Los proyectos deberán especificar de forma explícita una cuenta de servicio cuando crees un activador nuevo.
En el caso de las organizaciones, puedes ajustar la política de la organización para inhabilitar los próximos cambios.
El comportamiento de los proyectos existentes que habilitan la API de Cloud Build antes de que se introduzcan los cambios no se modificará.
¿Qué debe hacer?
Si formas parte de una organización, esta puede rechazar los cambios si estableces una política de la organización nueva.
Para ejecutar compilaciones enviadas directamente, si no deseas o no puedes ajustar la política de la organización, valida que la cuenta de servicio predeterminada de Compute Engine sea suficiente para tus compilaciones o usa tu propia cuenta de servicio. En ambos casos, los usuarios que envían la compilación deben tener el permiso iam.serviceAccounts.actAs en la cuenta de servicio.
Para crear activadores nuevos, debes especificar de forma explícita una cuenta de servicio.
Nueva política de la organización
Cloud Build presenta una nueva restricción booleana de políticas de la organización que controla la creación de la cuenta de servicio heredada de Cloud Build:
constraints/cloudbuild.disableCreateDefaultServiceAccount
Las organizaciones que quieran inhabilitar los próximos cambios y conocer las compensaciones de seguridad involucradas, pueden hacerlo mediante la actualización de las reglas de aplicación en la consola de Google Cloud o en Google Cloud CLI:
Selecciona
constraints/cloudbuild.disableCreateDefaultServiceAccounty establece la opción Aplicación en Desactivada en la consola de Google Cloud.Inhabilita la aplicación forzosa de la restricción en Google Cloud CLI.
Esta restricción de política afectará a los proyectos que habiliten la API de Cloud Build después del 29 de abril. Para obtener más información sobre las políticas de la organización, consulta Introducción al Servicio de políticas de la organización.