Cloud Build seleziona automaticamente l'account di servizio Cloud Build per eseguire le build per tuo conto, a meno che tu non sostituisca questo comportamento.
Il 29 aprile 2024 introdurremo delle modifiche al comportamento e all'utilizzo predefiniti degli account di servizio di Cloud Build nei nuovi progetti. Queste modifiche miglioreranno il livello di sicurezza predefinito dei nostri clienti in futuro.
Per i nuovi progetti e quelli esistenti che abilitano l'API Cloud Build dopo la release del 29 aprile 2024 verranno apportate le seguenti modifiche:
D'ora in poi, l'account di servizio Cloud Build verrà chiamato account di servizio Cloud Build legacy.
I progetti inizieranno a utilizzare l'account di servizio Compute Engine per impostazione predefinita per le build inviate direttamente.
I progetti devono specificare esplicitamente un account di servizio quando crei un nuovo trigger.
Per le organizzazioni, puoi modificare il criterio dell'organizzazione per disattivare le modifiche imminenti.
Il comportamento dei progetti esistenti che abilitano l'API Cloud Build prima dell'introduzione delle modifiche rimarrà invariato.
Cosa occorre fare?
Se fai parte di un'organizzazione, quest'ultima può disattivare le modifiche impostando un nuovo criterio dell'organizzazione.
Per eseguire build inviate direttamente, se non vuoi o non puoi modificare i criteri dell'organizzazione, verifica che l'account di servizio predefinito di Compute Engine sia sufficiente per le tue build oppure utilizza il tuo account di servizio. In entrambi i casi, gli utenti che inviano la build devono disporre dell'autorizzazione iam.serviceAccounts.actAs per l'account di servizio.
Per creare nuovi trigger, devi specificare esplicitamente un account di servizio.
Nuovo criterio dell'organizzazione
Cloud Build sta introducendo un nuovo vincolo booleano dei criteri dell'organizzazione che controlla la creazione dell'account di servizio Cloud Build legacy:
constraints/cloudbuild.disableCreateDefaultServiceAccount
Le organizzazioni che vogliono rinunciare alle modifiche imminenti e che sono a conoscenza dei compromessi in termini di sicurezza possono farlo aggiornando le regole di applicazione nella console Google Cloud o su Google Cloud CLI:
Seleziona
constraints/cloudbuild.disableCreateDefaultServiceAccounte imposta l'opzione Applicazione su Off nella console Google Cloud oppure
Questo vincolo dei criteri interesserà i progetti che abilitano l'API Cloud Build dopo il 29 aprile. Per ulteriori informazioni sui criteri dell'organizzazione, consulta la pagina Introduzione al servizio Criteri dell'organizzazione.