Cloud Build sélectionne automatiquement le compte de service Cloud Build pour exécuter les compilations en votre nom, sauf si vous remplacez ce comportement.
Le 29 avril 2024, nous apportons des modifications au comportement par défaut de Cloud Build et à l'utilisation des comptes de service dans les nouveaux projets. Ces modifications amélioreront le niveau de sécurité par défaut de nos clients à l'avenir.
Les nouveaux projets et projets existants qui activent l'API Cloud Build après la version du 29 avril 2024 constateront les modifications suivantes:
Le compte de service Cloud Build sera désormais désigné par le terme "ancien compte de service Cloud Build".
Les projets commenceront à utiliser le compte de service Compute Engine par défaut pour les compilations envoyées directement.
Les projets doivent spécifier explicitement un compte de service lorsque vous créez un déclencheur.
Pour les organisations, vous pouvez ajuster la règle d'administration afin de désactiver les modifications à venir.
Le comportement des projets existants qui activent l'API Cloud Build avant l'introduction des modifications restera inchangé.
Que devez-vous faire ?
Si vous faites partie d'une organisation, celle-ci peut désactiver les modifications en définissant une nouvelle règle d'administration.
Pour exécuter des builds envoyés directement, si vous ne souhaitez pas ou ne pouvez pas ajuster les règles d'administration, vérifiez que le compte de service Compute Engine par défaut est suffisant pour vos compilations ou utilisez votre propre compte de service. Dans les deux cas, les utilisateurs qui envoient la compilation doivent disposer de l'autorisation iam.serviceAccounts.actAs sur le compte de service.
Pour créer des déclencheurs, vous devez spécifier explicitement un compte de service.
Nouvelle règle d'administration
Cloud Build introduit une nouvelle contrainte booléenne de règle d'administration qui contrôle la création de l'ancien compte de service Cloud Build:
constraints/cloudbuild.disableCreateDefaultServiceAccount
Les organisations qui souhaitent refuser les modifications à venir et qui sont conscientes des compromis en matière de sécurité peuvent le faire en mettant à jour les règles d'application dans la console Google Cloud ou dans la Google Cloud CLI:
Sélectionnez
constraints/cloudbuild.disableCreateDefaultServiceAccountet définissez l'option Application sur Désactivé dans la console Google Cloud, ouDésactivez l'application des contraintes dans la Google Cloud CLI.
Cette contrainte de règle affectera les projets qui activent l'API Cloud Build après le 29 avril. Pour en savoir plus sur les règles d'administration d'administration, consultez la page Présentation du service de règles d'administration.