この動作をオーバーライドしない限り、Cloud Build では、ユーザーに代わってビルドを実行する Cloud Build サービス アカウントが自動的に選択されます。
2024 年 4 月 29 日に、Cloud Build のデフォルトの動作と、新しいプロジェクトでのサービス アカウントの使用法が変更されます。これらの変更により、今後のお客様のデフォルト セキュリティ対策が改善されます。
2024 年 4 月 29 日以降に Cloud Build API を有効にする新規プロジェクトと既存プロジェクトでは、次の変更が行われます。
Cloud Build サービス アカウントは、今後は以前の Cloud Build サービス アカウントと呼ばれるようになります。
プロジェクトで、直接送信されたビルドに対し、デフォルトで Compute Engine サービス アカウントが使用されるようになります。
新しいトリガーを作成するときに、プロジェクトでサービス アカウントを明示的に指定する必要があります。
組織については、組織のポリシーを変更して今後の変更を無効にできます。
変更が導入される前に Cloud Build API を有効にする既存プロジェクトの動作は、変更されません。
必要なご対応について
組織に属するユーザーは、新しい組織のポリシーを設定することで変更を無効にできます。
組織ポリシーを変更する必要がないか、または変更できない場合、直接送信されたビルドを実行するには、Compute Engine のデフォルトのサービス アカウントがビルドの要件を満たしていることを確認するか、独自のサービス アカウントを使用します。どちらの場合も、ビルドを送信するユーザーには、サービス アカウントに対する iam.serviceAccounts.actAs
権限が必要です。
新しいトリガーを作成するには、サービス アカウントを明示的に指定する必要があります。
新しい組織のポリシー
Cloud Build では、以前の Cloud Build サービス アカウントの作成を制御する新しい組織のポリシーのブール型制約が導入されています。
constraints/cloudbuild.disableCreateDefaultServiceAccount
今後の変更を無効にすることを希望し、関連するセキュリティのトレードオフを認識している組織は、Google Cloud コンソールまたは Google Cloud CLI の適用ルールを更新することで変更を無効にできます。
constraints/cloudbuild.disableCreateDefaultServiceAccount
を選択し、Google Cloud コンソールで [適用] オプションを [オフ] に設定するか、
このポリシー制約は、4 月 29 日以降に Cloud Build API を有効にするプロジェクトに影響します。組織のポリシーの詳細については、組織ポリシー サービスの概要をご覧ください。