Cloud Build サービス アカウントの変更

この動作をオーバーライドしない限り、Cloud Build では、ユーザーに代わってビルドを実行する Cloud Build サービス アカウントが自動的に選択されます。

2024 年 4 月 29 日に、Cloud Build のデフォルトの動作と、新しいプロジェクトでのサービス アカウントの使用法が変更されます。これらの変更により、今後のお客様のデフォルト セキュリティ対策が改善されます。

2024 年 4 月 29 日以降に Cloud Build API を有効にする新規プロジェクトと既存プロジェクトでは、次の変更が行われます。

• Cloud Build サービス アカウントは、今後は以前の Cloud Build サービス アカウントと呼ばれるようになります。

• プロジェクトで、直接送信されたビルドに対し、デフォルトで Compute Engine サービス アカウントが使用されるようになります。

• 新しいトリガーを作成するときに、プロジェクトでサービス アカウントを明示的に指定する必要があります。

• 組織については、組織のポリシーを変更して今後の変更を無効にできます。

• 変更が導入される前に Cloud Build API を有効にする既存プロジェクトの動作は、変更されません。

必要なご対応について

組織に属するユーザーは、新しい組織のポリシーを設定することで変更を無効にできます。

組織ポリシーを変更する必要がないか、または変更できない場合、直接送信されたビルドを実行するには、Compute Engine のデフォルトのサービス アカウントがビルドの要件を満たしていることを確認するか、独自のサービス アカウントを使用します。どちらの場合も、ビルドを送信するユーザーには、サービス アカウントに対する iam.serviceAccounts.actAs 権限が必要です。

新しいトリガーを作成するには、サービス アカウントを明示的に指定する必要があります。

新しい組織のポリシー

Cloud Build では、以前の Cloud Build サービス アカウントの作成を制御する新しい組織のポリシーのブール型制約が導入されています。

constraints/cloudbuild.disableCreateDefaultServiceAccount

今後の変更を無効にすることを希望し、関連するセキュリティのトレードオフを認識している組織は、Google Cloud コンソールまたは Google Cloud CLI の適用ルールを更新することで変更を無効にできます。

• constraints/cloudbuild.disableCreateDefaultServiceAccount を選択し、Google Cloud コンソールで [適用] オプションを [オフ] に設定するか、

• Google Cloud CLI で制約の適用を無効にします。

このポリシー制約は、4 月 29 日以降に Cloud Build API を有効にするプロジェクトに影響します。組織のポリシーの詳細については、組織ポリシー サービスの概要をご覧ください。