除非您替换此行为,否则 Cloud Build 会自动选择 Cloud Build 服务账号代表您执行构建。此默认服务账号可能具有不必要的广泛权限,例如访问 Container Registry 仓库和项目中的任何 Cloud Storage 存储分区。
Cloud Build 在新项目中使用服务账号的默认行为在 2024 年 5 月和 6 月的几周内发生了变化。这些变更将改善客户今后的默认安全状况。您可以通过配置组织政策限制来选择不应用这些更改。
在此变更之前,Cloud Build 使用 Cloud Build 专用服务账号作为默认账号,现在称为 Cloud Build 旧版服务账号。
此项变更生效后,Cloud Build 现在使用 Compute Engine 默认服务账号作为默认服务账号。
您的项目受到的影响取决于您是否属于某个组织:
没有组织的项目。如果您在更改后在项目中运行首次 build,该项目将默认使用 Compute Engine 服务账号来提交使用 Cloud Build API 或 Google Cloud CLI 提交的 build。这些项目无法选择使用 Cloud Build 旧版服务账号,但可以使用用户指定的服务账号。
属于组织的项目。如果您在更改后在项目中运行首次 build,该项目将默认使用 Compute Engine 服务账号来提交使用 Cloud Build API 或 Google Cloud CLI 提交的 build。您可以使用用户指定的服务账号,也可以在组织中启用 Cloud Build 服务账号,以选择不采用此项变更。
没有组织的现有项目。如果您在变更之前在项目中运行了首次构建,则该项目将继续采用旧行为,默认为所有 build 使用 Cloud Build 旧版服务账号。您可以继续使用用户指定的服务账号,方法是选择 Compute Engine 服务账号或创建自己的服务账号。
已加入组织的现有项目。如果您在变更之前在项目中运行了首次构建,则该项目将继续采用旧行为,默认使用 Cloud Build 旧版服务账号。您也可以继续使用用户指定的服务账号。
触发。创建或更新触发器时,您必须指定服务账号,除非项目的默认服务账号是 Cloud Build 旧版服务账号。
Cloud Build 服务账号名称:Cloud Build 服务账号将称为 Cloud Build 旧版服务账号。
您需要做些什么?
如果您属于某个组织,则贵组织可以通过设置组织政策(并添加所选限制条件)来配置所有项目的行为。
贵组织可以通过设置以下组织政策布尔值限制条件来选择停用这些更改:
- 未强制执行:
constraints/cloudbuild.disableCreateDefaultServiceAccount - 未强制执行:
constraints/cloudbuild.useComputeServiceAccount - 强制执行:
constraints/cloudbuild.useBuildServiceAccount
如果您无法或不想调整组织政策,并且在更改后启用了 Cloud Build API,请验证 Compute Engine 默认服务账号或用户创建的服务账号是否对您的 build 拥有足够的权限。具体而言,提交 build 的用户必须拥有服务账号的 iam.serviceAccounts.actAs 权限。
新的组织政策限制条件
Cloud Build 引入了新的组织政策布尔值约束条件,用于配置:
- 能够使用 Cloud Build 旧版服务账号。
- 组织中所有项目的默认服务账号。
如需修改组织政策,您可以使用 Google Cloud 控制台或 Google Cloud CLI:
Google Cloud 控制台:选择要更改的约束条件,然后在 Google Cloud 控制台中将强制执行选项设置为开启或关闭。
Google Cloud CLI:在 Google Cloud CLI 中配置约束条件强制执行。
如需详细了解组织政策,请参阅组织政策服务简介。
配置 Cloud Build 旧版服务账号的可用性
为了在您启用 Cloud Build API 时配置 Cloud Build 旧版服务账号的可用性,Cloud Build 将引入以下布尔值政策约束条件:
未强制执行:
constraints/cloudbuild.disableCreateDefaultServiceAccount。 允许在新项目中使用 Cloud Build 旧版服务账号。已强制执行:
constraints/cloudbuild.disableCreateDefaultServiceAccount。 禁止在新项目中使用 Cloud Build 旧版服务账号。这是该约束条件的默认值。
此约束条件仅会影响在变更发布后运行其首次 build 的项目。如果您决定不强制执行此政策约束条件,则对于在该配置生效时运行其首次 build 的所有项目,此更改将是永久性的。您无法在之前使用过该服务账号的项目中关闭 Cloud Build 旧版服务账号的使用。不过,即使服务账号可用,您也可以阻止贵组织中的用户使用该账号,如下一部分所述。
与所有组织政策和限制条件一样,您可以在组织级或项目级设置这些政策。
为组织配置默认服务账号
为了配置组织中使用的默认服务账号,Cloud Build 引入了两个新的政策布尔值约束条件:
constraints/cloudbuild.useBuildServiceAccount:配置 Cloud Build 旧版服务账号的使用。constraints/cloudbuild.useComputeServiceAccount:配置 Compute Engine 默认服务账号的使用。
您可以单独配置这些政策,但在以下情况下将强制执行规则组合使用时,效果最为显著:
请为手动提交的 build 和触发的 build 使用 Compute Engine 默认服务账号。在组织政策中设置以下限制条件:
- 未强制执行:
constraints/cloudbuild.useBuildServiceAccount - 强制执行:
constraints/cloudbuild.useComputeServiceAccount
- 未强制执行:
无论是手动提交的 build 还是触发的 build,都使用用户指定的服务账号。这通常是最安全的选项。在组织政策中设置以下限制条件:
- 未强制执行:
constraints/cloudbuild.useBuildServiceAccount - 未强制执行:
constraints/cloudbuild.useComputeServiceAccount
- 未强制执行:
继续使用 Cloud Build 旧版服务账号。如果您了解相关的安全权衡,请在组织政策中设置以下限制条件:
- 未强制执行:
constraints/cloudbuild.disableCreateDefaultServiceAccount - 未强制执行:
constraints/cloudbuild.useComputeServiceAccount - 强制执行:
constraints/cloudbuild.useBuildServiceAccount
- 未强制执行:
对于在变更之前启用了 Cloud Build API 的项目,请继续使用 Cloud Build 旧版服务账号;对于新项目,请开始使用 Compute Engine 默认服务账号。请务必了解相关的安全权衡,并在组织政策中设置以下限制条件:
- 强制执行:
constraints/cloudbuild.disableCreateDefaultServiceAccount - 强制执行:
constraints/cloudbuild.useComputeServiceAccount - 强制执行:
constraints/cloudbuild.useBuildServiceAccount
- 强制执行:
获取项目的当前默认服务账号
如需确定 Cloud Build 为项目使用的默认服务账号,您可以使用 Google Cloud CLI 或 Cloud Build API:
gcloud CLI
运行以下命令可获取当前项目的默认服务账号:
gcloud builds get-default-service-accountCloud Build API
使用 c网址 调用 Cloud Build API:
curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
https://cloudbuild.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/defaultServiceAccount将占位值替换为以下内容:
PROJECT_ID:项目的 ID。REGION:某个受支持的地区。