除非您覆盖此行为,否则 Cloud Build 会自动选择 Cloud Build 服务帐号代表您执行构建。
我们将于 2024 年 4 月 29 日对 Cloud Build 的默认行为以及新项目中服务帐号的使用作出变更。这些更改将改善我们客户的默认安全状况。
在 2024 年 4 月 29 日版本之后启用 Cloud Build API 的新项目和现有项目将出现以下变化:
从现在开始,Cloud Build 服务帐号将称为旧版 Cloud Build 服务帐号。
默认情况下,项目将开始使用 Compute Engine 服务帐号直接提交的 build。
当您创建新触发器时,项目必须明确指定服务帐号。
对于组织,您可以调整组织政策以拒绝即将发生的变更。
在引入变更之前启用 Cloud Build API 的现有项目的行为将保持不变。
您需要做些什么?
如果您属于某个组织,则该组织可以通过设置新的组织政策来选择拒绝更改。
如需运行直接提交的构建,如果您不想或无法调整组织政策,请验证 Compute Engine 默认服务帐号是否足以满足您的构建需求,或者使用自己的服务帐号。在这两种情况下,提交 build 的用户都必须对服务帐号拥有 iam.serviceAccounts.actAs 权限。
如需创建新的触发器,您必须明确指定服务帐号。
新建组织政策
Cloud Build 将引入新的组织政策布尔值限制条件,用于控制旧版 Cloud Build 服务帐号的创建:
constraints/cloudbuild.disableCreateDefaultServiceAccount
如果组织希望拒绝即将发生的变更,并且了解所涉及的安全权衡,可以在 Google Cloud 控制台或 Google Cloud CLI 中更新强制执行规则:
选择
constraints/cloudbuild.disableCreateDefaultServiceAccount,并在 Google Cloud 控制台中将强制执行选项设置为关闭,或者
此政策限制条件将影响在 4 月 29 日之后启用 Cloud Build API 的项目。如需详细了解组织政策,请参阅组织政策服务简介。