Alteração da conta de serviço do Cloud Build

O Cloud Build seleciona automaticamente a conta de serviço para executar builds em seu nome, a menos que você substitua esse comportamento.

Em 29 de abril de 2024, vamos apresentar mudanças no comportamento padrão do Cloud Build e no uso de contas de serviço em novos projetos. Essas mudanças vão melhorar a postura de segurança padrão dos nossos clientes.

Os projetos novos e existentes que ativarem a API Cloud Build após a versão de 29 de abril de 2024 terão as seguintes mudanças:

• A conta de serviço do Cloud Build passará a ser chamada de conta de serviço legada do Cloud Build.

• Por padrão, os projetos começarão a usar a conta de serviço do Compute Engine para versões enviadas diretamente.

• Os projetos terão que especificar explicitamente uma conta de serviço quando você criar um novo acionador.

• Para as organizações, é possível ajustar a política da organização para não autorizar as próximas mudanças.

• O comportamento dos projetos existentes que ativam a API Cloud Build antes da introdução das alterações não será alterado.

O que você precisa fazer?

Se você faz parte de uma organização, ela pode desativar as alterações definindo uma nova política da organização.

Para executar builds enviados diretamente, se você não quiser ou não puder ajustar a política da organização, valide se a conta de serviço padrão do Compute Engine é suficiente para seus builds ou use sua própria conta de serviço. Em ambos os casos, os usuários que enviam a versão precisam ter a permissão iam.serviceAccounts.actAs na conta de serviço.

Para criar novos acionadores, especifique explicitamente uma conta de serviço.

Nova política da organização

O Cloud Build está introduzindo uma nova restrição booleana de política da organização que controla a criação da conta de serviço legada do Cloud Build:

constraints/cloudbuild.disableCreateDefaultServiceAccount

As organizações que quiserem recusar as próximas mudanças e conhecerem as compensações de segurança envolvidas na segurança podem fazer isso atualizando as regras de aplicação no console do Google Cloud ou na Google Cloud CLI:

• Selecione constraints/cloudbuild.disableCreateDefaultServiceAccount e defina a opção Aplicação como Desativada no Console do Google Cloud ou

• Desativar a aplicação de restrições na Google Cloud CLI.

Essa restrição de política afetará projetos que ativarem a API Cloud Build após 29 de abril. Para mais informações sobre as políticas da organização, consulte a Introdução ao serviço de políticas da organização.