Cloud Build wählt automatisch das Cloud Build-Dienstkonto aus, um Builds in Ihrem Namen auszuführen, sofern Sie dieses Verhalten nicht überschreiben.
Am 29. April 2024 haben wir Änderungen am Standardverhalten von Cloud Build und an der Verwendung von Dienstkonten in neuen Projekten vorgenommen. Diese Änderungen verbessern den standardmäßigen Sicherheitsstatus unserer Kunden in Zukunft.
Für neue und bestehende Projekte, bei denen die Cloud Build API nach dem Release vom 29. April 2024 aktiviert wird, gelten die folgenden Änderungen:
Das Cloud Build-Dienstkonto wird ab jetzt als Legacy-Dienstkonto von Cloud Build bezeichnet.
Projekte verwenden standardmäßig das Compute Engine-Dienstkonto für direkt gesendete Builds.
Projekte müssen explizit ein Dienstkonto angeben, wenn Sie einen neuen Trigger erstellen.
Für Organisationen können Sie die Organisationsrichtlinie anpassen, um die anstehenden Änderungen zu deaktivieren.
Das Verhalten vorhandener Projekte, die die Cloud Build API aktivieren, bevor die Änderungen eingeführt werden, bleibt unverändert.
Was muss ich tun?
Wenn Sie Teil einer Organisation sind, kann die Organisation die Änderungen durch Festlegen einer neuen Organisationsrichtlinie deaktivieren.
Wenn Sie direkt eingereichte Builds ausführen möchten und die Organisationsrichtlinie nicht anpassen möchten oder können können, prüfen Sie, ob das Compute Engine-Standarddienstkonto für Ihre Builds ausreicht, oder verwenden Sie Ihr eigenes Dienstkonto. In beiden Fällen müssen die Nutzer, die den Build senden, die Berechtigung iam.serviceAccounts.actAs für das Dienstkonto haben.
Wenn Sie neue Trigger erstellen möchten, müssen Sie explizit ein Dienstkonto angeben.
Neue Organisationsrichtlinie
Cloud Build führt eine neue boolesche Einschränkung für Organisationsrichtlinien ein, die das Erstellen des alten Cloud Build-Dienstkontos steuert:
constraints/cloudbuild.disableCreateDefaultServiceAccount
Organisationen, die den bevorstehenden Änderungen widersprechen möchten und die damit verbundenen Sicherheitseinschränkungen kennen, können die Erzwingungsregeln in der Google Cloud Console oder der Google Cloud CLI aktualisieren:
Wählen Sie die
constraints/cloudbuild.disableCreateDefaultServiceAccountaus und legen Sie in der Google Cloud Console die Option Erzwingung auf Aus fest oderDeaktivieren Sie die Einschränkungserzwingung in der Google Cloud CLI.
Diese Richtlinieneinschränkung betrifft Projekte, die die Cloud Build API nach dem 29. April aktivieren. Weitere Informationen zu Organisationsrichtlinien finden Sie in der Einführung in den Organisationsrichtliniendienst.